Le credenziali di accesso degli utenti Dave vengono perse dopo una violazione di terze parti
Secondo la sua pagina Chi siamo, Dave è un'app finanziaria creata dopo che alcuni amici si sono riuniti e hanno deciso di rendere l'esperienza di banking online più piacevole per i cittadini statunitensi. La stessa pagina afferma piuttosto audacemente che Dave ha "reinventato" molte aree finanziarie e sembra che oltre 7 milioni di utenti siano d'accordo con questa affermazione. Purtroppo, le informazioni personali di tali utenti sono state esposte grazie a una violazione dei dati.
Table of Contents
Un database pieno di dati utente di Dave è stato pubblicato su un forum di hacking
Il 25 luglio, un utente ha detto a ZDNet che un criminale informatico stava usando un popolare forum di hacking per distribuire i dettagli personali rubati degli utenti di Dave. Il database conteneva poco più di 7,5 milioni di record e ZDNet ha ricevuto una conferma da Dave che i dati al suo interno sono reali.
Gli sviluppatori dell'app finanziaria hanno dichiarato, tuttavia, che la violazione si è verificata in un ex partner. Il partner in questione si chiama WayDev e apparentemente ha fornito a Dave servizi di analisi dei dati. Dave in seguito ha rilasciato una dichiarazione ufficiale sulla questione.
Va detto che WayDev non ha ancora confermato o negato ufficialmente la presunta violazione dei dati. Se l'attacco è effettivamente avvenuto su WayDev, è necessario rispondere a molte domande. Molte persone vorrebbero sapere, ad esempio, se ci sono altre compagnie colpite dall'attacco. È anche interessante scoprire perché WayDev aveva una copia dei dati dei clienti di Dave al termine della collaborazione.
Mentre le persone riflettono sulle potenziali risposte a queste domande, tuttavia, gli utenti che hanno fatto trapelare i loro dati devono sapere a cosa dovrebbero prestare attenzione.
Sono stati esposti nomi utente, password con hash e dettagli personali
L'affermazione di Dave sottolinea che il database trapelato non include numeri di conto bancario, dettagli della carta di credito o registrazioni di transazioni finanziarie. Ci sono numeri di previdenza sociale, ma sono crittografati.
Sono state esposte molte informazioni personali, inclusi nomi, e-mail e indirizzi fisici, numeri di telefono e date di nascita. Sono state incluse anche le credenziali di accesso degli utenti di Dave, anche se le password sono codificate con bcrypt e gli hacker avranno difficoltà a recuperare i dati di accesso in chiaro. Questo non significa che non ci proveranno, comunque.
Secondo la dichiarazione di Dave, gli hacker affermano di essere riusciti a decifrare alcune delle password. Gli sviluppatori dell'app stanno collaborando con le forze dell'ordine e stanno indagando su queste affermazioni. Nel frattempo, gli utenti di Dave devono ricordare che chiunque disponga di una connessione Internet può scaricare e utilizzare in modo improprio le proprie informazioni personali.
I dati sono disponibili gratuitamente
I collegamenti ai dati sono stati pubblicati su un forum di hacking di Clearnet, il che significa che non è nemmeno necessario un browser Tor per accedervi. È stato caricato da un criminale informatico che porta il soprannome di Shiny Hunters e ha una certa reputazione per la perdita di grandi quantità di informazioni rubate.
A maggio, Shiny Hunters si è vantato di compromettere da solo 11 diversi servizi online e rubare 160 milioni di record. Allora, l'hacker stava cercando di monetizzare i dati rubati e offriva i database a prezzi compresi tra $ 500 e $ 23 mila. Questa volta, tuttavia, Shiny Hunters si sente generoso e offre gratuitamente i dati dei clienti di Dave, rendendo ancora più reale il pericolo per gli utenti.