Un mese dopo che Poshmark ha confermato una violazione dei dati, le informazioni degli utenti privati vengono vendute online

Poshmark Data Breach

Quasi esattamente un mese fa, il mercato di abbigliamento online nordamericano Poshmark ha annunciato di aver subito una violazione dei dati. Per motivi che rimangono poco chiari, il sito web ha deciso di non rivelare quante persone sono state colpite, ma come hanno sottolineato i punti di notizie sul incidente al epoca, Poshmark ha decine di milioni di utenti, quindi impatto potenziale è stato piuttosto significativo sin dal inizio . Sfortunatamente, la dimensione effettiva del database rubato è rimasta sconosciuta. Fino a ieri, cioè.

La scorsa settimana, una persona a cui si desidera far riferimento il suo indirizzo e-mail - JimScott.Sec@protonmail.com - ha messo le mani sui dati rubati da Poshmark e ha deciso di condividerli con la leggenda della cybersecurity Troy Hunt. Hunt ha elaborato le informazioni e le ha caricate nel suo servizio di avviso di violazione dei dati HaveIBeenPwned . Grazie a questo, ora sappiamo che sono stati esposti poco più di 36 milioni di account.

Molte persone ne sono colpite. Ma quanto dovrebbero essere preoccupati?

Cosa hanno rubato gli hacker?

Fin dal inizio, Poshmark ha voluto sottolineare che i criminali informatici non hanno rubato dati finanziari o informazioni relative agli indirizzi fisici dei clienti. Il post sul blog afferma che oltre a prendere informazioni pubblicamente disponibili come nomi e nomi utente, i criminali informatici sono riusciti a decollare con un database interno contenente e-mail delle persone e impostazioni di notifica push.

Finora, così insignificante, ma Poshmark ha ammesso che anche i dati degli account interni erano stati esposti. Ciò include indirizzi e-mail, ID utente, preferenze di dimensione delle persone e, soprattutto, "password crittografate unidirezionali salate in modo univoco per utente". Il rivenditore ha poi spiegato che aveva usato bcrypt, uno dei pochi algoritmi di hashing considerati abbastanza sicuri da poter essere utilizzati per archiviare le password . Ciononostante, Poshmark ha consigliato ai suoi utenti di modificare le password per ogni evenienza.

A prima vista, quindi, mentre i 36 milioni di clienti Poshmark dovrebbero essere alla ricerca di e-mail di spam e phishing, non è molto di cui preoccuparsi. Lunedì, tuttavia, sono emerse nuove informazioni che sembrano un po preoccupanti.

Gli hacker presumibilmente vendono password Poshmark incrinate

Dopo che Troy Hunt ha annunciato che i dati di Poshmark sono stati caricati in HaveIBeenPwned, Bleeping Computer è entrato in contatto con JimScott.Sec@protonmail.com (che ha esperienza nella gestione di questo tipo di incidenti, tra altro) e ha posto alcune domande sul informazione. Il misterioso individuo ha detto al sito Web di notizie sulla sicurezza di aver visto intero database, con tutti i 36 milioni di account, che si sono scambiati le mani sul web oscuro per un minimo di $ 750. Ha anche notato, tuttavia, di aver visto circa 1 milione di account Poshmark crackati offerti a un prezzo molto più elevato. Se questo è vero, gli hacker stanno vendendo set completi di credenziali di accesso, il che significa che sono riusciti in qualche modo a recuperare le password in chiaro delle persone.

Questa è una svolta interessante perché se la divulgazione iniziale di Poshmark è veritiera, le password non dovrebbero essere recuperabili. Gli esperti affermano che bcrypt è un algoritmo adatto per hashing delle password per u ottima ragione. Mentre potrebbe essere teoricamente possibile decifrarlo, anche con hardware potente di oggi, farlo non è pratico. Ciò suggerisce che o implementazione del rivenditore di abbigliamento non era corretta o che gli hacker avevano semplicemente indovinato le 1 milione di password Poshmark che stavano vendendo.

In ogni caso, il semplice fatto che queste credenziali siano scambiate sui mercati sotterranei evidenzia ancora una volta quanto sia importante proteggere tutti i tuoi account con password complesse e uniche.

September 4, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 10 + 2 ?