LiveAuctioneers ha rivelato una violazione dei dati di milioni di password, indirizzi e-mail e numeri di telefono
Sabato, LiveAuctioneers, una piattaforma online che consente agli utenti di partecipare ad aste di oggetti d'antiquariato, arte e gioielli nella vita reale, ha annunciato che alcuni dei dati personali dei suoi clienti potrebbero essere stati compromessi. La notifica è stata rapida nel sottolineare che la violazione è avvenuta in un partner di elaborazione dati di terze parti e che LiveAuctioneers era solo uno dei tanti servizi online interessati, ma non possiamo immaginare che ciò abbia fatto di tutto per illuminare l'umore delle persone i cui dati sono stati divulgati.
Table of Contents
Gli hacker accedono ai dati di LiveAuctioneers dopo una violazione di terze parti
La versione iniziale della notifica della violazione dei dati affermava che, tra le altre cose, gli hacker avrebbero potuto avere accesso alle ultime quattro cifre di alcune carte di credito degli utenti. Un aggiornamento del 12 luglio, tuttavia, ha rimosso tali informazioni. Invece, l'avviso modificato affermava che il 19 giugno gli hacker avevano attaccato il partner di elaborazione dati di LiveAuctioneers e ottenuto l'accesso a nomi, indirizzi e-mail e indirizzi di posta elettronica, numeri di telefono e "password crittografate".
L'esperto di sicurezza informatica Graham Cluley era curioso di scoprire cosa intendessero LiveAuctioneers per "password crittografate" e voleva anche sapere quante persone potrebbero essere state colpite, motivo per cui ha cercato di mettersi in contatto con l'azienda e chiedere maggiori informazioni. Ieri ha ricevuto le sue risposte. Sfortunatamente, non provenivano da LiveAuctioneers, ma da un forum di hacking in cui i criminali informatici acquistano e vendono dati rubati.
Gli hacker cercano di vendere i dati di LiveAuctioneers compromessi
Ieri i ricercatori di CloudSEK hanno annunciato che la loro piattaforma di monitoraggio dei rischi aveva rilevato una pubblicità per 3,4 milioni di record di LiveAuctioneers rubati su un chiaro forum di hacking web. Il post era datato 10 luglio, un giorno prima che la piattaforma annunciasse la violazione e, proprio come dicevano LiveAuctioneers, i documenti contenevano nomi, indirizzi e-mail e postali e, in alcuni casi, IP. Per circa 3 milioni di account, tuttavia, il venditore ha anche affermato di avere le password violate.
L'annuncio afferma che le password sono state codificate con MD5, che, come ha sottolineato Graham Cluley, è "quasi inutile" quando si tratta di proteggere le credenziali, e il semplice fatto che l'hacker è riuscito a recuperare la maggior parte dei dati di accesso in meno di un mese dovrebbe essere una prova abbastanza valida di quanto l'algoritmo sia terribilmente insicuro.
È corretto affermare che ora tutte le password dovrebbero essere considerate compromesse, ma è una cosa così brutta?
Quanto sono gravi le conseguenze?
A prima vista, verrai perdonato per aver pensato che la violazione non è un affare così grande. Apparentemente il team di cybersecurity di LiveAuctioneers sapeva che non stavano usando il metodo di archiviazione delle password più sicuro e, quando hanno saputo della violazione, hanno immediatamente disabilitato le password più recenti di tutti gli account degli offerenti. Piaccia o no, gli utenti interessati dall'attacco dovranno cambiare le password di LiveAuctioneers.
Devono anche assicurarsi, tuttavia, che i dettagli di accesso compromessi non vengano utilizzati su altri siti Web o servizi. Altrimenti, gli hacker possono facilmente assumere il controllo dei propri account con un semplice attacco di riempimento delle credenziali. Sfortunatamente, per gli utenti di LiveAuctioneers, questo è solo uno dei problemi.
Non dimentichiamo che LiveAuctioneers è una piattaforma che aiuta con la vendita di arte, oggetti d'antiquariato, gioielli e altri beni costosi. Le persone che lo usano hanno un sacco di soldi da spendere e sono quindi gli obiettivi perfetti per sofisticati attacchi di spearphishing. Nemmeno i dati personali sono offerti gratuitamente, il che significa che chiunque li comprerà probabilmente farà uno sforzo per ottenere un ritorno sul proprio investimento. In altre parole, gli utenti di LiveAuctioneers devono essere ancora più attenti del solito.
