Minted Endelig Fested opp til et dataovertredelse, men først etter at 5 millioner poster ble funnet på nettet

I går kunngjorde Minted, en markedsplass der uavhengige artister deler og tjene penger på kreasjonene sine, at det hadde fått et datainnbrudd. 'Utenfor rettsmedisinske eksperter' hjalp Minted til å gjennomføre en undersøkelse som slo fast at 6. mai stjal hackere brukernes navn og påloggingsinformasjon. Telefonnumrene, fakturerings- og leveringsadressene, samt fødselsdatoene til en del av de berørte personer, kan også ha blitt stjålet.

Bruddet ser ikke ut til å være så ille

Den gode nyheten er at folks økonomiske data ikke har blitt påvirket. I tillegg til dette, passes og saltes passordene i henhold til varselet, noe som betyr at hackere vil ha vanskelig for å bruke dem til å kompromittere ofrenes mynte kontoer. Husk at alle Minted-kunder oppfordres til å endre passord fra en overflod av forsiktighet.

Et datainnbrudd kan aldri være gode nyheter, men det må sies at noen hendelser er verre enn andre. Det Minted-hacket ser ikke ut til å være så ille. Noe personlig informasjon ble stjålet, og brukere som måtte være berørt må være på utkikk etter phishing-angrep, men basert på hva selskapet skrev, er faren ikke så stor. Tidslinjen presentert i varselet om brudd på data kan også føre til at du tror at Minted gjorde en god jobb med å avsløre hendelsen. Når du graver litt lenger, vil du imidlertid se at dette ikke egentlig var tilfelle.

Folk har visst om Minted datainnbrudd i flere uker

Det må sies at noen få detaljer mangler i Minteds varsel om datainnbrudd. Varselet sier ikke for eksempel at antallet berørte brukere ligger på rundt 5 millioner. Det sier heller ikke hva slags hashingsalgoritme selskapet brukte for å beskytte passordet. I følge eksperter som har sett et utvalg av den stjålne databasen, er det Blowfish, og det kan bli sprukket med de riktige verktøyene. Avgjørende sa ikke Minted at dataene har vært i salg for $ 2500 i tre uker nå, og at mer eller mindre alle visste om det.

Databasen stjålet fra Minted er nå i hendene på en hackinggruppe kalt Shiny Hunters. Mannskapet ble fremtredende i forrige måned da det kunngjorde at det hadde stjålet 91 millioner plater fra Tokopedia, en av Indonesias største netthandelsplattformer. Shiny Hunters ba først hackermiljøet om å hjelpe dem med å avvask passordene i databasen, og de tilbød det deretter for salg på den mørke nettet. Gruppen er også koblet til salg av rundt 22 millioner poster stjålet fra en online utdanningsplattform kalt Unacademy. I så fall var hash-algoritmen sterk, noe som brakte prisen betraktelig ned, og for å sikre at inntekten deres er jevn, få dager senere, la hackerne ut for salg ikke færre enn ti databaser som ble stjålet fra forskjellige online tjenester. Som du kanskje allerede har gjettet, var Minted en av dem.

Den enorme dumpa berørte millioner av mennesker, og det var viktig å informere dem om det så raskt som mulig. Dessverre skjedde ikke dette. Nyhetssteder som ZDNet som rapporterte om historien prøvde å komme i kontakt med alle berørte selskaper, men e-postene deres forble stort sett ignorert. I gårsdagens anmeldelse sa representantene fra Minted at de fikk vite om hendelsen 15. mai, til tross for at reporterne varslet dem om det en hel uke før det.

Etter hvert begynte ofrene å innrømme at de har vært igjennom en datasikkerhetshendelse, og Minted er den siste til å fess opp. De har imidlertid ikke klart å avsløre hva som tok dem så lang tid.

Vi kan forestille oss at å avsløre et dataovertredelse sannsynligvis ikke er det enkleste i verden for selskapenes PR-team, men i kjølvannet av slike hendelser, bør hovedfokuset for alle være brukernes sikkerhet, og ved å utsette avsløringen, tjenesteleverandører gjør ingenting mer enn å sette sine kunder i enda større grad.