23 milioni di account sono stati compromessi in una violazione dei dati di CafePress

CafePress è un rivenditore online che vende di tutto, dalla cartoleria, alla biancheria da letto, fino alle felpe con disegni di ogni tipo. È in attività da quasi vent anni ormai, ma al momento è un po un casino. Non che tu possa dirlo, intendiamoci.

Visita uno qualsiasi dei feed di social media di CafePress e rimarrai pensando che tutto vada bene. Anche la homepage del negozio online non suggerisce che si sia verificato un grave incidente di sicurezza informatica. Sfortunatamente, questo è esattamente ciò che è accaduto e ha interessato non meno di 23 milioni di utenti.

Gli hacker hanno rubato oltre 23 milioni di dischi CafePress a febbraio

Un servizio di segnalazione delle violazioni con il nome di We Leak Info ha dato la prima notizia il 14 luglio, quando ha dichiarato di aver trovato un database contenente i record di oltre 23,3 milioni di utenti di CafePress. Secondo We Leak Info, le informazioni trovate sono state rubate a febbraio e includevano nomi, e-mail e hash di password. Nonostante il numero significativo di persone colpite, nessuno ha prestato attenzione al avviso di violazione di We Leak Info. Quando Troy Hunt ha messo le mani sui dati, tuttavia, le cose sono cambiate radicalmente.

Hunt ha recentemente ricevuto informazioni su CafePress che sembrano essere state compromesse da una persona che preferisce essere conosciuta tramite il suo indirizzo email: JimScott.Sec@protonmail.com. Il 5 agosto, Hunt lo caricò nel suo servizio Have I Been Pwned e iniziò a inviare notifiche alle vittime che si erano iscritte ai suoi avvisi. Inizialmente, sembrava che i dati che aveva differito da quello su cui avevamo riportato We Leak Info. Inizialmente Hunt ha affermato che il database non contiene alcun hash di password, ma ha successivamente aggiornato la descrizione quando ha scoperto che alcune password con hash e codificate facevano effettivamente parte delle informazioni rubate. Secondo il guru della sicurezza informatica australiana, tuttavia, la discarica contiene anche numeri di telefono e indirizzi fisici.

CafePress si comporta come se nulla fosse successo

Le persone che hanno ricevuto le notifiche di Troy Hunt si sono rivolte ai social media per cercare di capire cosa stava succedendo, e abbastanza presto, punti vendita come Forbes e The Register erano in ogni parte della storia. Com era prevedibile, i giornalisti hanno cercato di mettersi in contatto con CafePress e scoprire di più sulla violazione, ma non hanno ricevuto risposta.

Più di 24 ore dopo che i primi avvisi di Troy Hunt hanno iniziato a volare in giro, la compagnia continua a tacere. CafePress non ha rilasciato una dichiarazione ufficiale, la sua pagina Facebook continua a promuovere nuovi prodotti e vendite e su Twitter il rivenditore ha risposto a una delle tante domande che i clienti turbati pongono.

Il rivenditore non ha completamente ignorato la violazione e ha avviato una campagna di reimpostazione della password per quelli che sembrano essere tutti i suoi utenti. Il fatto è che la formulazione delle notifiche sembra intenzionalmente progettata per allontanare attenzione della gente dalla violazione dei dati. Come riportato dal giornalista tecnologico Darren Pauli, e-mail afferma che il motivo della modifica della password risiede in una politica di password aggiornata. La violazione dei dati di febbraio non viene menzionata.

Questo tipo di comportamento head-in-the-sand in realtà non fa alcun favore alla credibilità di CafePress. Si potrebbe sostenere che è già troppo tardi, ma se vogliono apparire anche lontanamente interessati alla privacy delle persone, il minimo che il team di gestione potrebbe fare è annunciare pubblicamente che i loro sistemi sono stati violati e che stanno cercando di impedire questo genere di cose da succedendo di nuovo in futuro. Date le circostanze, è unica giusta linea azione.