Mintedはついにデータ侵害に取り掛かりましたが、500万件のレコードがオンラインで発見された後にのみ
昨日、独立系アーティストが作品を共有し収益化する市場であるミンテッドは、データ侵害の被害を受けたと発表しました。 「法廷外の専門家」はミントが5月6日にハッカーがユーザーの名前とログイン資格情報を盗んだと判断した調査を実施するのを助けました。電話番号、請求先、配送先住所、および影響を受けた個人の一部の生年月日も盗まれた可能性があります。
違反はそれほど悪くはないようです
朗報ですが、人々の財務データは影響を受けていません。これに加えて、通知に従ってパスワードがハッシュ化およびソルト化されます。つまり、ハッカーはそれらを使用して被害者のミントアカウントを侵害することが困難になります。注意してください、十分な注意を払って、すべてのMintedユーザーはパスワードを変更するように促されます。
データ侵害は決して朗報ではありませんが、一部のインシデントは他のインシデントよりも悪いと言わざるを得ません。 Minted Hackはそれほど悪くはないようです。実際、一部の個人情報が盗まれ、影響を受ける可能性のあるユーザーはフィッシング攻撃を警戒している必要がありますが、会社の書面によれば、危険はそれほど大きくありません。データ侵害の通知に示されたタイムラインも、ミントがインシデントの開示に優れた仕事をしたと信じてしまう可能性があります。ただし、さらに掘り下げると、これは実際には当てはまらないことがわかります。
人々は数週間にわたってミントされたデータ侵害について知っていました
Mintedのデータ侵害通知にはいくつかの詳細が欠落していると言わざるを得ません。たとえば、影響を受けるユーザーの数が約500万人であることは、通知には記載されていません。また、同社がパスワードの保護に使用したハッシュアルゴリズムの種類についても言及していません。盗まれたデータベースのサンプルを見た専門家によると、それはBlowfishであり、適切なツールでクラックされる可能性があります。重要なことに、Mintedは、データが3週間2,500ドルで販売されており、多かれ少なかれ誰もがそれを知っているとは言っていません。
Mintedから盗んだデータベースは、Shiny Huntersと呼ばれるハッキンググループの手に渡っています。クルーは先月、インドネシア最大のeコマースプラットフォームの1つであるTokopediaから9100万件のレコードを盗んだと発表した際に、目立った。シャイニーハンターズは、まずハッキングコミュニティにデータベース内のパスワードのハッシュ化を解除するように依頼し、それからダークウェブで売りに出しました。このグループは、 Unacademyと呼ばれるオンライン教育プラットフォームから盗まれた約2200万件のレコードの販売にも関連しています。その場合、ハッシュアルゴリズムは強力で、価格が大幅に下がりました。数日後、収入を安定させるために、ハッカーはさまざまなオンラインサービスから盗んだ10以上の追加のデータベースを売りに出しました。ご想像のとおり、ミントもその1つです。
大量のダンプは何百万人もの人々に影響を与えたので、できるだけ早くそれについて彼らに知らせることが重要でした。悲しいことに、これは起こりませんでした。ニュースを報道したZDNetのようなニュースアウトレットは、影響を受けるすべての企業と連絡を取ろうとしましたが、彼らの電子メールはほとんど無視されたままでした。昨日の通知で、ミントの代表は、記者がその前の丸一週間それについて彼らに警告しているという事実にもかかわらず、彼らが5月15日に事件について知ったと言った。
最終的に、被害者はデータセキュリティインシデントに遭遇したことを認め始め 、ミントは最新の問題です。しかし、彼らはすべて彼らがそれほど長くかかったものを明らかにすることに失敗しました。
データ侵害の開示は、おそらく企業のPRチームにとって世界で最も簡単なことではないと想像できますが、そのような事件を受けて、すべての人にとっての主な焦点はユーザーのセキュリティであり、開示を遅らせることです。サービスプロバイダーは、顧客をさらにリスクにさらすだけです。