Den USA-baserte hjemmekokken oppfordrer kunder til å endre passord etter at et datainnbrudd ble avslørt
Vi snakker ofte om hvor viktig det er å handle raskt i kjølvannet av et datainnbrudd. Bedrifter trenger ikke bare å sørge for at nettringskriminalitetene har blitt blokkert og sikkerhetshullene er koblet til, men de må også informere berørte kunder og åpenlyst avsløre bruddet til publikum. Hendelser som det som har skjedd med matleverandørfirmaet Home Chef viser at vi sannsynligvis vil trenge å fortsette å gjenta alt dette.
Hjemmekokk - et av Shiny Hunters ofre
I begynnelsen av mai fanget en ny gruppe nettkriminelle sikkerhetseksperter oppmerksomhet. De kaller seg Shiny Hunters, og de ser ut til å ha tilgang til en stor samling stjålet informasjon, som de prøver å tjene penger på. Først ble en database hentet fra et populært indonesisk nettsted kalt Tokopedia lagt ut for salg. Deretter prøvde de å flytte 22 millioner poster stjålet fra en online utdanningsplattform Unacademy, og noen dager senere beviste Shiny Hunters nok en gang at de ikke skal undervurderes.
De gikk tilbake til sine favorittforum for hacking og kunngjorde ikke færre enn 10 tidligere ikke rapporterte datainnbrudd. De hevdet ikke å være ansvarlige for angrepene, men de påpekte at de har de stjålne databasene, og de er villige til å dele dem i bytte mot noen bitcoins.
Pris mellom $ 500 og $ 3500 per datasett, den lekke informasjonen hadde blitt stjålet fra forskjellige organisasjoner, og som du kanskje forestiller deg, er Home Chef en av dem. Hackerne hentet totalt 8 millioner plater fra matleveringsnettverket, og de vil ha 2500 dollar for dem. For det får kjøpere en betydelig database som inkluderer navn, e-post, telefonnumre, forskjellige biter med kontorelatert informasjon, samt krypterte passord og de fire siste sifrene i folks kreditt- eller debetkort. Dessverre er krypteringsalgoritmen som beskytter passordene ukjent for tiden.
Hjemmekokken ventet i nærmere to uker før den avslørte dataforbruddet
I det store og det hele er detaljene rundt angrepet mot hjemmekokk noe knappe, men noen av dere kan hevde at vi er heldige som har det. Shiny Hunters 'engros ga nyhetene først 9. mai, da Bleeping Computer rapporterte om det. På den tiden innrømmet bare en (en fotoalbumleverandør kalt ChatBooks) av de ti berørte organisasjonene at det var blitt målrettet av nettkriminelle, og selv om nyhetsnettstedet prøvde å komme i kontakt med alle involverte, foretrakk de andre selskapene å ikke svare på e-poster. Hjemmekokk er det andre medlemmet av denne gruppen som kommer rent rundt bruddet, og måten det gjøres på, belyser det enorme problemet vi har med datasikkerhetshendelser og avsløringen av dem.
Det er nesten nøyaktig to uker siden Shiny Hunters fortalte oss at hjemmekokken har blitt hacket. Bare hackerne kan si hvor mange som har betalt for de stjålne dataene i løpet av denne perioden, og til og med de kan gjøre mer enn å gjette hvor mange ganger de har blitt delt på nytt.
At det ble lagt ut for salg er ikke noe Home Chef liker å diskutere med brukerne sine. Faktisk tilbyr FAQ-siden selskapet satt sammen veldig lite i veien for informasjon. Det gjør ikke en veldig god jobb å gi brukerne en klar redegjørelse for hva som har skjedd, men det viser hvor mange klisjeer selskaper bruker etter at de har blitt rammet av et datainnbrudd. Det eneste positive med det er at det oppfordrer brukerne til å endre passordene sine ut fra en overflod av forsiktighet.
Hvis du er en hjemmekokk-bruker, er det virkelig en god ide å gjøre det. Her er trinnene:
- Logg inn på din Home Chef-konto
- Klikk på rullegardinmenyen Konto og velg Kontoinformasjon
- Fyll ut skjemaet Endre passord
- Klikk på Lagre innstillingene
Det ser ut til at selskaper er overbevist om at de på en eller annen måte kan redde ansiktene sine hvis de deler liten eller ingen informasjon om cybersikkerhetshendelser de har vært gjennom. Til slutt er det imidlertid brukerne som kan havne på feil ende av alle de forskjellige angrepene som er muliggjort av brudd på data, og de har all rett til å vite hva de trenger å passe på. Den forsinkede avsløringen og motviljen mot å dele detaljer gjør ikke annet enn å sette brukeren under ytterligere risiko, og dette kan ikke være gunstig for selskapets omdømme.
