Galutinai nukaltas iki duomenų pažeidimo, tačiau tik po to, kai internete buvo rasta 5 milijonai įrašų

Minted Data Breach

Vakar „Minted“, turgavietė, kurioje nepriklausomi menininkai dalijasi ir uždirba savo kūrinius, paskelbė, kad ji patyrė duomenų pažeidimą. „Išoriniai teismo medicinos ekspertai“ padėjo Mintui atlikti tyrimą, kurio metu paaiškėjo, kad gegužės 6 d. Įsilaužėliai pavogė vartotojų vardus ir prisijungimo duomenis. Taip pat gali būti pavogti telefonų numeriai, sąskaitos faktūros ir pristatymo adresai, taip pat nukentėjusių asmenų gimimo datos.

Pažeidimas neatrodo toks blogas

Geros naujienos yra tai, kad žmonių finansiniai duomenys nepaveikti. Be to, slaptažodžiai yra maišyti ir sūdyti pagal pranešimą, o tai reiškia, kad įsilaužėliams bus sunku juos naudoti kompromituojant aukų iškaltas sąskaitas. Atminkite, kad, būdami atsargūs, visi „Minted“ klientai raginami pakeisti slaptažodžius.

Duomenų pažeidimas niekada negali būti gera žinia, tačiau reikia pasakyti, kad kai kurie incidentai yra blogesni už kitus. Kaltas hackas neatrodo toks blogas. Iš tiesų buvo pavogta tam tikra asmeninė informacija ir potencialiai paveikti vartotojai turi būti ieškomi apsimestinių svetainių atakų, tačiau remiantis tuo, ką parašė bendrovė, pavojus nėra toks didelis. Lauke, pateiktame pranešime apie duomenų pažeidimą, taip pat gali kilti nuomonė, kad Mintas padarė gerą darbą atskleisdamas įvykį. Tačiau kai kasate šiek tiek toliau, pamatysite, kad taip nebuvo.

Žmonės apie Minted duomenų pažeidimą žinojo kelias savaites

Reikia pasakyti, kad pranešime apie Mintedo duomenų pažeidimus trūksta kelių detalių. Pvz., Pranešime nesakoma, kad nukentėjusių vartotojų skaičius siekia apie 5 milijonus. Taip pat nesama, kokį maišos algoritmą įmonė naudojo slaptažodžio apsaugai. Pasak ekspertų, mačiusių pavogtos duomenų bazės pavyzdį, tai „Blowfish“ ir ją galima nulaužti naudojant tinkamus įrankius. Svarbiausia, kad Mintedas nesakė, kad duomenys buvo parduodami už 2500 USD jau tris savaites ir kad daugiau ar mažiau visi apie tai žinojo.

Iš Minted pavogta duomenų bazė dabar yra įsilaužėlių grupės, vadinamos „Shiny Hunters“, rankose. Įgula išryškėjo praėjusį mėnesį, kai pranešė, kad pavogė 91 milijoną įrašų iš Tokopedijos, vienos didžiausių Indonezijos elektroninės prekybos platformų. „Shiny Hunters“ pirmiausia paprašė įsilaužėlių bendruomenės padėti jiems sunaikinti slaptažodžius duomenų bazėje, o paskui pasiūlė jį parduoti tamsiajame internete. Grupė taip pat yra susijusi su maždaug 22 milijonų įrašų, pavogtų iš internetinės švietimo platformos, vadinamos „ Unacademy“, pardavimu. Tokiu atveju maišos algoritmas buvo stiprus, dėl kurio kaina smarkiai sumažėjo, ir siekdami užtikrinti stabilias jų pajamas, po kelių dienų įsilaužėliai pardavė ne mažiau kaip dešimt papildomų duomenų bazių, pavogtų iš įvairių internetinių paslaugų. Kaip jau spėjote atspėti, Minta buvo viena iš jų.

Masinis sąvartynas paveikė milijonus žmonių, todėl buvo svarbu kuo greičiau apie tai informuoti. Deja, taip neatsitiko. Naujienų agentūros, tokios kaip „ ZDNet“, kurios papasakojo apie istoriją, bandė susisiekti su visomis paveiktomis bendrovėmis, tačiau jų el. Laiškai iš esmės buvo ignoruojami. Vakar paskelbtame pranešime „Minted“ atstovai teigė, kad apie įvykį sužinojo gegužės 15 d., Nepaisant to, kad žurnalistai visą savaitę prieš tai juos įspėjo.

Galų gale aukos pradėjo pripažinti, kad yra patyrusios duomenų saugumo incidentą, o Mintas yra paskutinis, kuriam teko atsiplėšti. Vis dėlto jie neatskleidė, kas jiems taip ilgai užtruko.

Galime įsivaizduoti, kad duomenų pažeidimo atskleidimas tikriausiai nėra pats lengviausias dalykas įmonių PR komandoms pasaulyje, tačiau įvykus tokiems įvykiams pagrindinis dėmesys turėtų būti skiriamas vartotojų saugumui, o atidėliojant atskleidimą, paslaugų teikėjai daro ne ką kita, kaip tik dar labiau rizikuoja savo klientais.

May 29, 2020

Palikti atsakymą