Aptikus duomenų pažeidimą, „Zello“ vartotojai priversti iš naujo nustatyti slaptažodžius
„Zello“ yra tiesioginio ryšio programa, turinti daugiau nei 100 milijonų vartotojų visame pasaulyje. Jos kūrėjai taip pat sukūrė versiją policijos pareigūnams, ugniagesiams gelbėtojams ir paramedikams, kurie ją gali naudoti tiesioginiam ryšiui ekstremalios situacijos metu. Laimei, šiai versijai įtakos neturėjo neseniai įvykęs duomenų pažeidimas, kurį patyrė „Zello“.
„Zello“ liepos mėn. Pradžioje nukentėjo nuo duomenų pažeidimo
Liepos 8 d. „Zello“ pastebėjo „neįprastą veiklą“ viename iš savo serverių. Tai išstūmė įsibrovėlį, pranešė teisėsaugai ir iškvietė nepriklausomą bendrovę, kuri padės atlikti tyrimą.
Kaip jau minėjome, jie suprato, kad pažeidimas neturėjo įtakos „Zello for First Responders“, taip pat nebuvo „Zello Work“, mokamos tiesioginio ryšio programos versijos. Pataikė tik nemokamos „Zello“ programos vartotojai, o pranešimas apie duomenų pažeidimą stengiasi, kad jie skambėtų taip, kad jie neturi tiek nerimauti.
Matyt, įsilaužėliams pavyko pasiekti duomenų bazę, kurioje buvo visų „Zello“ vartotojų el. Pašto adresai ir maišyti slaptažodžiai. Bendrovė pabrėžia, kad dauguma žmonių nenaudoja savo el. Pašto adreso kaip savo vartotojo vardo ir (arba) slaptažodžio, o tai sumažina sėkmingo sąskaitos perėmimo riziką. Nepaisant to, labai atsargiai, visiems vartotojams reikės iš naujo nustatyti slaptažodžius, kai kitą kartą prisijungsite prie programos. Jie taip pat yra raginami jį pakeisti kitose svetainėse, kur jie galbūt ją panaudojo dar kartą.
„Zello“ nenori dalintis per daug detalių
Reikia pasakyti, kad pranešime nėra pakankamai išsamios informacijos. Nėra informacijos apie tai, kaip įsilaužėliams pavyko įsilaužti ir ką įmonė padarė siekdama išvengti panašių incidentų ateityje. Mes suprantame, kad „Zello“ gali dar neturėti visiško vaizdo, tačiau praėjus beveik mėnesiui tyrimų, jis turi pakankamai aiškiai suvokti, kas atsitiko ir kodėl.
Vienas dalykas, kurį „Zello“ žino, tačiau nusprendė neatskleisti, yra maišos algoritmas, kuris buvo naudojamas slaptažodžiams apsaugoti. Puikiai žinome, kad maišos yra geriausias būdas saugiai saugoti prisijungimo duomenis, tačiau taip pat žinome, kad kai kurie maišos algoritmai yra patikimesni nei kiti. Jei įsilaužėliai sugeba nulaužti maišus ir išgauti paprasto teksto slaptažodžius, vartotojai atsiduria daug sudėtingesnėje situacijoje.
Kai kurie iš jūsų gali pasakyti, kad paprašydamas vartotojų pakeisti slaptažodžius, „Zello“ padeda jiems sumažinti riziką. Tačiau realu, kad vienintelis pranešimas apie duomenų pažeidimą neprivers 100 milijonų žmonių išsamiai peržiūrėti savo slaptažodžių tvarkymo praktiką, ypač jei minėtame pranešime teigiama, kad pažeisti kredencialai yra „neįskaitomi“. Jei įmonėje bus aiškiau apie riziką, su kuria susiduria vartotojai, žmonių, kurie sustos ir pagalvos apie savo internetinių paskyrų saugumą, greičiausiai bus daug daugiau. Žinoma, neturėtume atmesti galimybės, kad „Zello“ saugiai suskeldėjo vartotojų slaptažodžius, tačiau netikrumas ir konkrečios informacijos stoka nieko nereiškia, kad patikimiems vartotojams būtų užtikrinta, jog viskas gerai.