Alla fine è stato inventato per una violazione dei dati, ma solo dopo 5 milioni di record sono stati trovati online

Ieri, Minted, un mercato in cui artisti indipendenti condividono e monetizzano le loro creazioni, ha annunciato di aver subito una violazione dei dati. Gli "esperti forensi esterni" hanno aiutato Minted a condurre un'indagine che ha stabilito che il 6 maggio gli hacker hanno rubato i nomi degli utenti e le credenziali di accesso. Anche i numeri di telefono, gli indirizzi di fatturazione e spedizione, nonché le date di nascita di una parte delle persone colpite, potrebbero essere stati rubati.

La violazione non sembra essere così grave

La buona notizia è che i dati finanziari delle persone non sono stati influenzati. Oltre a ciò, le password sono sottoposte a hash e salate secondo l'avviso, il che significa che gli hacker avranno difficoltà a usarle per compromettere gli account Minted delle vittime. Intendiamoci, per un'abbondanza di cautela, tutti i clienti di Minted sono invitati a cambiare le loro password.

Una violazione dei dati non può mai essere una buona notizia, ma bisogna dire che alcuni incidenti sono peggiori di altri. L'hacking Minted non sembra essere così male. In effetti, alcune informazioni personali sono state rubate e gli utenti potenzialmente interessati devono essere alla ricerca di attacchi di phishing, ma in base a ciò che l'azienda ha scritto, il pericolo non è così grande. La cronologia presentata nella notifica della violazione dei dati potrebbe anche farti credere che Minted abbia fatto un buon lavoro nel rivelare l'incidente. Quando scavi un po 'di più, tuttavia, vedrai che non era proprio così.

Le persone conoscono la violazione dei dati con menta da settimane

Va detto che mancano alcuni dettagli nella notifica di violazione dei dati di Minted. L'avviso non dice, ad esempio, che il numero di utenti interessati si attesta a circa 5 milioni. Inoltre, non indica il tipo di algoritmo di hashing utilizzato dalla società per proteggere la password. Secondo gli esperti che hanno visto un campione del database rubato, si tratta di Blowfish e può essere crackato con gli strumenti giusti. Fondamentalmente, Minted non ha detto che i dati sono stati in vendita per $ 2,500 per tre settimane ormai e che più o meno tutti lo sapevano.

Il database rubato da Minted è ora nelle mani di un gruppo di hacker chiamato Shiny Hunters. L'equipaggio è diventato famoso il mese scorso quando ha annunciato di aver rubato 91 milioni di dischi da Tokopedia, una delle più grandi piattaforme di e-commerce in Indonesia. Shiny Hunters ha prima chiesto alla comunità di hacker di aiutarli a cancellare le password nel database, e poi l'hanno offerto in vendita sul web oscuro. Il gruppo è anche collegato alla vendita di circa 22 milioni di dischi rubati da una piattaforma di istruzione online chiamata Unacademy. In tal caso, l'algoritmo di hashing era forte, il che ha abbassato notevolmente il prezzo e per garantire che il loro reddito fosse costante, pochi giorni dopo, gli hacker hanno messo in vendita non meno di dieci database aggiuntivi rubati da vari servizi online. Come avrai già intuito, Minted era uno di questi.

L'enorme discarica ha colpito milioni di persone ed è stato importante informarli al più presto. Purtroppo, ciò non è accaduto. Le agenzie di stampa come ZDNet che hanno riportato la storia hanno cercato di mettersi in contatto con tutte le aziende interessate, ma le loro e-mail sono rimaste in gran parte ignorate. Nella notifica di ieri, i rappresentanti di Minted hanno dichiarato di essere venuti a conoscenza dell'incidente il 15 maggio, nonostante il fatto che i giornalisti li avessero avvisati di ciò un'intera settimana prima.

Alla fine, le vittime hanno iniziato ad ammettere di aver subito un incidente di sicurezza dei dati, e Minted è l'ultimo a confessare. Tuttavia, tutti non sono riusciti a rivelare cosa li ha presi così tanto tempo.

Possiamo immaginare che la divulgazione di una violazione dei dati non sia probabilmente la cosa più semplice al mondo per i team di PR delle aziende, ma sulla scia di tali incidenti, l'obiettivo principale per tutti dovrebbe essere la sicurezza degli utenti e ritardando la divulgazione, i fornitori di servizi non fanno altro che mettere a rischio i propri clienti.