La privacy di 50.000 utenti ottiene compromessa in caso di violazione dei dati

Get Data Breach

Nel mese di maggio 2017, una piattaforma di biglietteria di nome Qnect ha fatto notizia per tutte le ragioni sbagliate. La base utenti di Qnect era principalmente composta da studenti australiani che improvvisamente iniziarono a ricevere alcuni strani SMS non richiesti. Secondo quanto riferito, i testi sono stati inviati da hacker che avevano violato i sistemi di Qnect e avevano rubato i dati di alcuni dei suoi utenti. I messaggi dicevano che a meno che non fosse pagato un riscatto, i dati sarebbero stati resi accessibili al pubblico e gli utenti sarebbero stati invitati a convincere la gestione di Qnect a tossire i bitcoin.

Non è chiaro come si sia svolta intera storia. Quello che sappiamo è che Qnect è ora chiamato Get. Sappiamo anche che la privacy dei suoi utenti è di nuovo minacciata.

Uno studente scopre una grave violazione dei dati per errore

Uno studente dell'Università del New South Wales stava cercando di utilizzare i servizi di Get quando ha scoperto che grazie a un'implementazione non sicura di alcune API, le informazioni personali di circa 50 mila persone (o un terzo dell'intera base di utenti di Get) possono essere ottenute con terrificante facilità. Lo studente in questione ha usato il suo account Reddit per condividere la storia con tutti, e ha iniziato dicendo che attualmente sta facendo ricerche universitarie su aziende che hanno subito violazioni dei dati. La scoperta non è stata fatta durante le sue ricerche.

Quello che stava cercando di fare era trovare una società Get sul sito Web della piattaforma. Per fortuna, ha sbagliato a scrivere il nome della società e i risultati che sono apparsi sembrano piuttosto interessanti. errore di battitura significava che invece di informazioni utili che dovrebbero essere accessibili al pubblico, stava guardando i dati personali degli studenti che avevano usato Get. Ha quindi inserito i nomi di uno dei suoi amici nel motore di ricerca ed è rimasto scioccato nello scoprire che Get stava rivelando liberamente i dettagli personali dei suoi utenti.

Lo studente ha quindi utilizzato la sua esperienza per dare u occhiata più da vicino, e si è rapidamente reso conto che erano "una serie di" cattive pratiche. Ovviamente, il problema più grande risiedeva nel fatto che il servizio di ricerca stava diffondendo informazioni personali e, come se ciò non bastasse, non ha richiesto alcun token per farlo, il che significa che chiunque, indipendentemente dal fatto che abbiano o meno un account Get, potrebbe usarlo.

Qualcuno ha apparentemente frugato tra i dati esposti

Secondo lo studente che ha scoperto la violazione dei dati, esistono "prove abbondanti" di attacchi di iniezione SQL su questa particolare sezione del infrastruttura di Get. Sembra abbastanza convinto che qualcuno sia riuscito a mettere le mani sulle informazioni esposte davanti a lui. Ciò significa che la natura dei dati trapelati è tanto più importante.

Per fortuna, tutti i pagamenti vengono elaborati da un processore di terze parti, il che significa che i dettagli finanziari non sono stati esposti. Non ci sono prove nemmeno di password trapelate, il che è anche una buona notizia.

I dettagli emersi durante la violazione includono nomi, ID Facebook, compleanni e numeri di telefono. In effetti, non è la perdita più delicata, ma gli utenti di Get dovrebbero essere ancora alla ricerca di chiamate truffa, messaggi simili a quelli che stavano ricevendo circa due anni e mezzo fa e e-mail di phishing.

Ottieni la risposta

Lo studente che ha scoperto la violazione ha affermato che prima di condividere le sue scoperte con Reddit, ha cercato di ottenere qualcuno su Get e di rivelare responsabilmente il problema. Apparentemente, non ha ottenuto una risposta. La storia di Get, tuttavia, è leggermente diversa.

Secondo questo, il personale IT di Get ha sentito parlare per la prima volta del problema il 6 settembre, quando "un numero di organizzazioni" ha detto loro che i loro sistemi potevano essere vulnerabili. Sabato, le chiamate API non sicure sono state tokenizzate e, da allora, il team ha lavorato sodo per cercare di indagare su cosa è andato storto e perché.

Get ha pubblicato aggiornamenti giornalieri che purtroppo non hanno fornito molto in termini di informazioni aggiuntive. La piattaforma non sembra particolarmente interessata a discutere evidenza di precedenti attacchi menzionati dallo studente che ha scoperto la violazione e non dirà nulla su u altra vulnerabilità discussa nello stesso thread di Reddit.

Tutto sommato, abbiamo uno scenario da lui detto, che significa che non è molto facile giudicare quanto bene reagisca a tutto. Una cosa di cui nessuno è disposto a discutere, tuttavia, è che la stessa società (anche se con un nome diverso) ha registrato due incidenti di violazione dei dati in altrettanti anni. E questo sicuramente non sta facendo per un bel aspetto.

September 11, 2019
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.