Zello-brukere blir tvunget til å tilbakestille passord etter at et datainnbrudd er oppdaget

Zello er en push-to-talk-applikasjon med mer enn 100 millioner brukere over hele verden. Skaperne har også utviklet en versjon for politifolk, brannmenn og paramedikere som kan bruke den til øyeblikkelig kommunikasjon under en nødsituasjon. Heldigvis ble ikke denne versjonen påvirket av et nylig datainnbrudd som Zello led.

Zello ble rammet av et datainnbrudd i begynnelsen av juli

8. juli la Zello merke til "uvanlig aktivitet" på en av serverne. Det sparket inntrengerne ut, varslet rettshåndhevelse og ringte et uavhengig selskap for å hjelpe med etterforskningen.

Som vi allerede nevnte, fant de ut at Zello for First Responders ikke var påvirket av bruddet, og heller ikke Zello Work, den betalte versjonen av push-to-talk-appen. Bare brukerne av den gratis Zello-appen ble truffet, og varselet om brudd på data prøver å få det til å høres ut som de ikke har så mye å bekymre seg for.

Angivelig klarte hackerne å få tilgang til en database som inneholdt e-postadressene og hashede passordene til alle Zello-brukere. Selskapet påpeker at de fleste ikke bruker e-postadressen deres som brukernavn og / eller passord, noe som reduserer risikoen for et vellykket overtakelse av kontoen. Likevel, av en overflod av forsiktighet, vil alle brukere måtte tilbakestille passordene neste gang de logger seg på appen, og de blir også oppfordret til å endre det på andre nettsteder der de kan ha brukt den igjen.

Zello er ikke villig til å dele for mange detaljer

Det må sies at varselet er avgjort mangelvare på detaljer. Det er ingen informasjon om hvordan hackerne klarte å bryte seg inn og hva selskapet har gjort for å forhindre at lignende hendelser skal skje i fremtiden. Vi er klar over at Zello kanskje ikke har det fullstendige bildet ennå, men etter nærmere en måneds undersøkelse må det ha en relativt klar ide om hva som skjedde og hvorfor.

En ting Zello vet, men har bestemt seg for ikke å røpe, er hash-algoritmen som ble brukt for å beskytte passordene. Vi vet godt at hashing er den beste måten å lagre påloggingsdata på en sikker måte, men vi vet også at noen hashing-algoritmer er mer robuste enn andre. Hvis hackerne er i stand til å sprekke hasj og trekke ut klartekstpassordene, er brukerne i en mye mer prekær situasjon.

Noen av dere kan si at ved å be brukere om å endre passord, hjelper Zello dem med å dempe risikoen. Realistisk sett vil imidlertid ikke et enkelt varsel om dataovertredelse gjøre at 100 millioner mennesker skal gjennomføre en fullstendig gjennomgang av passordhåndteringspraksis, spesielt hvis nevnte varsel sier at de kompromitterte legitimasjonene er "uleselige." Hvis selskapet er mer gjennomsiktig om risikoen brukere står overfor, vil antallet mennesker som vil stoppe opp og tenke på sikkerheten til online-kontoene, sannsynligvis være mye høyere. Selvfølgelig skal vi ikke avfeie muligheten for at Zello har skylt brukernes passord sikkert, men usikkerheten og mangelen på spesifikk informasjon gjør ingenting for å sikre sikkerhetsbevisste brukere at alt er i orden.