Gli utenti di Zello sono costretti a reimpostare le password dopo che è stata rilevata una violazione dei dati

Zello è un'applicazione push-to-talk con oltre 100 milioni di utenti in tutto il mondo. I suoi creatori hanno anche sviluppato una versione per agenti di polizia, vigili del fuoco e paramedici che possono usarla per la comunicazione istantanea durante un'emergenza. Fortunatamente, questa versione non è stata influenzata da una recente violazione dei dati che Zello ha subito.

Zello è stato colpito da una violazione dei dati all'inizio di luglio

L'8 luglio, Zello notò "attività insolite" su uno dei suoi server. Ha espulso gli intrusi, notificato le forze dell'ordine e chiamato una società indipendente per aiutare nelle indagini.

Come abbiamo già detto, hanno capito che Zello for First Responders non è stato interessato dalla violazione, e nemmeno Zello Work, la versione a pagamento dell'app push-to-talk. Solo gli utenti dell'app Zello gratuita sono stati colpiti e la notifica di violazione dei dati cerca di far sembrare che non abbiano molto di cui preoccuparsi.

Apparentemente, gli hacker sono riusciti ad accedere a un database che conteneva gli indirizzi e-mail e le password con hash di tutti gli utenti di Zello. La società sottolinea che la maggior parte delle persone non utilizza il proprio indirizzo e-mail come nome utente e / o password, il che riduce il rischio di acquisizione di un account di successo. Tuttavia, per un'abbondanza di cautela, tutti gli utenti dovranno reimpostare le password la prossima volta che accedono all'app e sono anche invitati a modificarlo su altri siti Web dove potrebbero averlo riutilizzato.

Zello non è disposto a condividere troppi dettagli

Va detto che la notifica è decisamente scarsa nei dettagli. Non ci sono informazioni su come gli hacker sono riusciti a irrompere e cosa ha fatto la società per evitare simili incidenti in futuro. Ci rendiamo conto che Zello potrebbe non avere ancora il quadro completo, ma dopo quasi un mese di indagini, deve avere un'idea relativamente chiara di cosa sia successo e perché.

Una cosa che Zello sa ma che ha deciso di non divulgare è l'algoritmo di hashing utilizzato per proteggere le password. Sappiamo benissimo che l'hashing è il modo migliore per archiviare in modo sicuro i dati di accesso, ma sappiamo anche che alcuni algoritmi di hashing sono più robusti di altri. Se gli hacker sono in grado di rompere gli hash ed estrarre le password in chiaro, gli utenti si trovano in una situazione molto più precaria.

Alcuni di voi potrebbero dire che chiedendo agli utenti di cambiare la propria password, Zello li sta aiutando a mitigare il rischio. Realisticamente, tuttavia, una singola notifica di violazione dei dati non consentirà a 100 milioni di persone di fare una revisione completa delle loro pratiche di gestione delle password, soprattutto se la suddetta notifica afferma che le credenziali compromesse sono "illeggibili". Se la società è più trasparente sui rischi che gli utenti affrontano, il numero di persone che si fermeranno e penseranno alla sicurezza dei loro account online sarà probabilmente molto più alto. Ovviamente, non dovremmo respingere la possibilità che Zello abbia nascosto le password degli utenti in modo sicuro, ma l'incertezza e la mancanza di informazioni specifiche non stanno facendo nulla per assicurare agli utenti attenti alla sicurezza che tutto vada bene.