40 milioni di record degli utenti dell'app Wishbone sono venduti online

Come accennato ieri, i criminali informatici spesso cercano di trarre profitto dai dati compromessi anni fa. Quando Catalin Cimpanu, uno dei reporter di sicurezza di ZDNet, ha trovato un annuncio che vendeva le informazioni degli utenti dell'app Wishbone su un forum sotterraneo, probabilmente ha pensato che fosse esattamente quello che stava succedendo.

La popolare applicazione a quiz ha subito una violazione dei dati nel 2016, quando gli hacker hanno fatto trapelare un database contenente le informazioni personali di circa 2,2 milioni di utenti. All'epoca, i criminali informatici affermavano di rilasciare solo una piccola parte delle informazioni rubate e sembrava che il nuovo annuncio potesse contenere il resto dei dettagli rubati quattro anni fa. Dopo aver esaminato un campione dal database appena pubblicizzato, tuttavia, Cimpanu si è reso conto che si tratta di un nuovo hack.

Un criminale informatico sta vendendo 40 milioni di record Wishbone per $ 8 mila

Il venditore ha sottolineato che il database è stato acquisito nel 2020 e il reporter di ZDNet lo ha confermato controllando i timestamp e rivedendo i dati del campione rispetto a un paio di servizi di notifica delle violazioni, il che ha dimostrato che è davvero piuttosto recente. Il numero di persone colpite è di circa 40 milioni e i record includono nomi, nomi utente, indirizzi e-mail, numeri di telefono, posizioni geografiche e password con hash. Il venditore chiede 0,85 bitcoin o circa $ 8 mila, il che significa che i conti hanno un prezzo di $ 0,0002 ciascuno.

Gli sviluppatori di Wishbone devono ancora presentare una dichiarazione ufficiale, ma ZDNet ha confermato che i dati sono autentici. È relativamente poco costoso ed è offerto da quello che sembra essere un trader esperto. L'indagine di Catalin CImpanu ha rivelato che lo stesso venditore offre dozzine di database rubati a tutti i tipi di fornitori di servizi. In totale, il giornalista ha stimato che il criminale informatico è in possesso di un enorme 1,5 miliardi di documenti rubati.

Molto probabilmente, il venditore non avrà problemi a spostare il database Wishbone e mentre sta contando i profitti, gli utenti dell'app devono pensare alle potenziali conseguenze della violazione.

In che modo la violazione dei dati di Wishbone può influire sugli utenti?

Sebbene non siano coinvolti dati finanziari, esistono sufficienti informazioni di identificazione personale per facilitare tutti i tipi di truffe. Con i dettagli di contatto, gli hacker possono facilmente entrare in contatto con potenziali obiettivi e il resto dei dati può aiutarli a scatenare una trappola di ingegneria sociale in cui le vittime potrebbero cadere. Considerando il fatto che la stragrande maggioranza della base di utenti di Wishbone è costituita delle ragazze adolescenti, le conseguenze della violazione dei dati sono terrificanti.

Si potrebbe sostenere che la violazione non avrebbe dovuto avvenire, ma, come abbiamo detto in passato, nessuna azienda è immune dal rischio di essere colpita da attacchi informatici. Il fatto è, tuttavia, che sebbene Wishbone abbia già subito un incidente di sicurezza, i suoi sviluppatori non sembrano aver appreso la lezione.

Nell'annuncio, il venditore dei dati ha dichiarato che le password sono state sottoposte a hash con SHA1. Questo è un problema perché SHA1 non è la funzione hash più robusta e può essere invertita. Quando Catalin Cimpanu ha esaminato un campione delle credenziali trapelate, tuttavia, si è reso conto che le password erano effettivamente incise con MD5, un algoritmo che può essere rotto in pochi secondi con strumenti liberamente accessibili.

La minaccia per gli account Wishbone delle persone è molto reale e se gli utenti interessati stanno riutilizzando le stesse password per più servizi, i danni potrebbero essere ancora più significativi.