CafePress finalmente affronta la massiccia violazione dei dati
Molte persone ora sanno che il famoso rivenditore di t-shirt e merchandising CafePress ha subito una grave violazione dei dati al inizio del 2019. A luglio, i follower di un account Twitter chiamato We Leak Info ne sono venuti a conoscenza e un paio di settimane dopo, quando lo specialista della sicurezza Troy Hunt ha messo le mani sui dati, la notizia è stata diffusa molto di più.
Come accennato al epoca , incidente è avvenuto a febbraio ed è stato piuttosto ampio, con circa 23 milioni di account interessati. I dati trapelati includevano dettagli come anche gli indirizzi fisici e, secondo Troy Hunt, le password che erano nella discarica non erano molto ben protette. Alla luce di tutto ciò, il comportamento di CafePress era decisamente strano.
Non erano dichiarazioni ufficiali e, sebbene alcuni giornalisti abbiano cercato di chiedere un commento, il rivenditore è rimasto a bocca aperta. Alcuni utenti hanno dichiarato di essere stati costretti a modificare le proprie password, ma a quanto pare è stato detto loro che azione era stata innescata da una nuova politica delle password, non da una violazione dei dati.
In questo momento, più di un mese e mezzo dopo che Troy Hunt ha caricato il database in Have I Been Pwned, e poco più di sette mesi dopo il furto delle informazioni, CafePress sta finalmente ammettendo pubblicamente di aver subito una violazione dei dati.
I clienti di CafePress iniziano a ricevere notifiche di violazione dei dati tramite e-mail
La scorsa settimana, CafePress ha iniziato a inviare e-mail che informavano i "stimati clienti" di "un incidente sulla sicurezza dei dati", che riguardavano le loro informazioni personali. Il rivenditore si è scusato abbondantemente per la perdita e ha fatto luce sulla questione. Ma è bastato?
Secondo gli screenshot condivisi sui social media , agli utenti è stato detto che potrebbero essere state coinvolte informazioni personali, inclusi nomi, indirizzi e-mail e password. Alle persone è stato assicurato che i dati sono stati spostati in "un ambiente diverso", ma è stato consigliato di cambiare la password che stavano usando per il loro account CafePress in qualsiasi altro servizio online dove potrebbe essere ancora attivo. e-mail afferma inoltre che gli utenti dovrebbero "rimanere vigili" e prestare attenzione a eventuali segni di furto di identità.
Molte persone che hanno ricevuto la notifica non ne sono state particolarmente soddisfatte. Alcuni di loro erano piuttosto turbati dal fatto che le loro password sono state archiviate in quello che sembra essere un formato recuperabile (le notifiche non forniscono dettagli sugli esatti meccanismi di archiviazione). Altri pensavano che questo tipo di messaggi non dovesse provenire da un indirizzo di "donotreply", e la maggior parte era piuttosto arrabbiata per il fatto che il rivenditore si stesse aprendo sulla violazione più di sei mesi dopo che è accaduto. Ci sono alcune cose, tuttavia, che potrebbero metterli in uno stato animo ancora più oscuro.
I dettagli sono ancora difficili da trovare
Grazie alla potenza di Internet, possiamo apprendere che il 4 settembre, circa due settimane prima che le prime notifiche di violazione dei dati iniziassero a colpire le caselle di posta delle persone, gli avvocati di CafePress hanno inviato una lettera formale [PDF] al procuratore generale del Iowa per informare pubblicamente istituzione di la violazione. Il giorno dopo, il 5 settembre, il rivenditore ha pubblicato una pagina sul suo sito Web dedicata al incidente. Sono disponibili anche versioni per i cittadini del Regno Unito , del Canada e del Australia , ma per motivi che non sono particolarmente chiari, trovarli non è molto semplice. Al momento della stesura di questo documento, questo contenuto non sembra essere disponibile tramite il motore di ricerca di CafePress e, per quanto possiamo capire, non è stato condiviso con gli utenti in alcun modo. Tuttavia, le informazioni contenute nella lettera al procuratore generale del Iowa e nella pagina Web difficile da individuare ci forniscono maggiori dettagli sul intera violazione dei dati.
Ci fornisce una ripartizione della posizione geografica delle persone colpite. Apparentemente, più di 22 milioni di persone sono state colpite in tutto il mondo, tra cui 450 mila australiani, circa 495 mila canadesi e poco più di 1 milione di cittadini del UE (di cui 880 mila vivono nel Regno Unito). Oltre a nomi, indirizzi e-mail e password, la "terza parte non identificata" che ha violato la sicurezza di CafePress è riuscita a rubare le ultime quattro cifre e le date di scadenza di alcune carte di credito, nonché informazioni sensibili come i numeri di previdenza sociale e di identificazione fiscale (tra cui gli equivalenti in Canada, Australia e Regno Unito). Per fortuna, solo circa 1% di tutte le persone colpite ha avuto dettagli come i numeri di previdenza sociale esposti e tutti riceveranno la protezione dal furto di identità pagata da CafePress.
La lettera al procuratore generale del Iowa afferma che il 6 agosto CafePress "ha scoperto" che i dati personali dei suoi clienti sono "presumibilmente offerti in vendita e disponibili sul web oscuro". I responsabili della sicurezza del rivenditore probabilmente non sono stati troppo sorpresi da questa "scoperta", tuttavia, poiché secondo lo stesso documento, il 13 marzo, hanno affrontato una vulnerabilità della sicurezza nel database interessato. Allora, hanno trovato "nessuna prova forense" per suggerire che le informazioni fossero state rubate, ma il 15 aprile 2019, hanno comunque forzato una reimpostazione della password per tutti coloro che cercavano di accedere al proprio account. Per questo motivo, il documento afferma che "le password che potrebbero essere state ottenute durante questo incidente non erano più valide dal 15 aprile 2019".
Anche se supponiamo che sia così, non possiamo ignorare il fatto che le persone riutilizzano sempre le password . Inoltre, non possiamo ignorare il fatto che CafePress non ha gestito il problema nel modo più trasparente possibile.