Gli hacker violano Mixcloud e vendono i dati degli utenti online

Dopo aver violato un servizio online o un sito Web, gli hacker di solito cercano di monetizzare i dati rubati vendendoli sul Web oscuro o su uno dei tanti forum di hacking che sono indicizzati da Google e sono facilmente accessibili. Dato quanto preziose informazioni personali possano essere, spesso, vendere i dati ad altri criminali non è una vera sfida. Apparentemente, tuttavia, i database rubati a volte sono più difficili da spostare. Un hacker che portava il soprannome A_W_S, ad esempio, stava probabilmente facendo fatica a vendere un database che aveva rubato al servizio di streaming Mixcloud, motivo per cui hanno deciso di spargere la voce vantandosi dell'attacco ai media.

La scorsa settimana, A_W_S si è messa in contatto con Zack Whittaker di TechCrunch, Joseph Cox di Motherboard e Catalin Cimpanu di ZDNet e ha detto loro che Mixcloud aveva subito una violazione dei dati. A_W_S ha dichiarato di essere riuscito da solo a rubare i record di 21 milioni di abbonati e che i dati erano in vendita su un oscuro mercato web.

A_W_S non è in realtà nuovo in questo genere di cose. Secondo il reporter di ZDNet, hanno lavorato a fianco di un altro criminale informatico noto come Gnosticplayer, il cui amore per l'attenzione dei media è diventato evidente all'inizio di quest'anno dopo alcuni attacchi di alto profilo. Ma in che modo la violazione di Mixcloud si sovrappone alle attività dei giocatori di Gnostic?

Non è la breccia più orribile al mondo

Tutti e tre gli outfit di notizie hanno ricevuto campioni dei dati per confermarne l'autenticità. I giornalisti hanno visto nel database nomi utente, indirizzi e-mail e IP, date di registrazione degli account e hash salati delle password delle persone. Si sono messi in contatto con alcune delle persone interessate e hanno provato a registrare nuovi account Mixcloud con alcune delle e-mail e hanno confermato che le informazioni sono effettivamente autentiche. Le date in cui sono state effettuate alcune registrazioni suggeriscono che l'attacco è stato espulso poche settimane fa. Quindi, i dati sono reali ed è molto probabilmente validi. È una buona cosa, quindi, che non ce ne sia molto.

Dopo aver appreso della violazione, Mixcloud ha sottolineato che non memorizza i dettagli della carta di credito o gli indirizzi fisici. Ha anche affermato che la maggior parte dei suoi utenti si è iscritta al servizio utilizzando i propri account Facebook, il che, di per sé, limita la quantità di dati esposti in una certa misura. Ancora più importante, il fornitore di servizi di streaming ha affermato che le password rubate sono state salate e incassate in modo sicuro, cosa che le agenzie di stampa sono riuscite a confermare. Mixcloud ha usato SHA-2 - un algoritmo di hashing praticamente impossibile da invertire.

Di conseguenza, i truffatori che pagano per il database in realtà non otterranno molto per i loro soldi, motivo per cui i dati non stanno attirando così tanta attenzione. Quando TechCrunch e Motherboard hanno scritto della violazione il 29 novembre, A_W_S chiedeva 0,5 bitcoin o $ 4000 per questo, ma quando il rapporto di ZDNet è stato pubblicato il 1 ° dicembre, il prezzo era stato ridotto a 0,27 bitcoin o circa $ 2.000.

Non è la migliore risposta al mondo

Apparentemente Mixcloud non sapeva nulla della violazione prima del rapporto iniziale nei media. Circa 24 ore dopo la notizia, il fornitore di servizi di streaming ha escogitato ciò che Zack Whittaker ha descritto con precisione come "una dichiarazione corporativa". Oltre all'inevitabile dichiarazione "prendiamo molto sul serio la sicurezza", il post sul blog conteneva informazioni sui meccanismi di memorizzazione delle password e sulla quantità relativamente limitata di dati esposti. Non conteneva il numero di persone colpite dalla violazione e non diceva nulla delle precauzioni prese per proteggerle in futuro. La decisione di includere una sezione FAQ che ha solo due domande è anche piuttosto strana considerando il fatto che presumibilmente sono stati rubati più di 20 milioni di dischi.

Quando i giornalisti hanno chiesto ulteriori commenti, i portavoce di Mixcloud sono rimasti in silenzio, il che è un'altra prova che il fornitore di servizi di streaming avrebbe potuto essere un po 'più trasparente nella sua divulgazione. Possiamo solo sperare che altri fornitori che subiscono violazioni dei dati saranno in grado di gestirli un po 'meglio.