Minted Eindelijk tot een datalek toegetreden, maar pas nadat 5 miljoen records online waren gevonden

Gisteren kondigde Minted, een marktplaats waar onafhankelijke kunstenaars hun creaties delen en er geld mee verdienen, aan dat het een datalek had opgelopen. 'Externe forensische experts' hielpen Minted bij het uitvoeren van een onderzoek waaruit bleek dat hackers op 6 mei gebruikersnamen en inloggegevens stalen. De telefoonnummers, factuur- en verzendadressen, evenals de geboortedata van een deel van de getroffen personen, zijn mogelijk ook gestolen.

De inbreuk lijkt niet zo erg te zijn

Het goede nieuws is dat de financiële gegevens van mensen niet zijn beïnvloed. Bovendien worden de wachtwoorden volgens de kennisgeving gehasht en gezouten, wat betekent dat hackers het moeilijk zullen hebben om ze te gebruiken om de Minted-accounts van slachtoffers te compromitteren. Let wel, uit alle voorzorg worden alle Minted-klanten aangespoord om hun wachtwoord te wijzigen.

Een datalek kan nooit goed nieuws zijn, maar het moet gezegd dat sommige incidenten erger zijn dan andere. De Minted-hack lijkt niet zo slecht te zijn. Sommige persoonlijke informatie is inderdaad gestolen en mogelijk getroffen gebruikers moeten uitkijken naar phishing-aanvallen, maar op basis van wat het bedrijf heeft geschreven, is het gevaar niet zo groot. De tijdlijn die wordt weergegeven in de melding van datalekken kan er ook toe leiden dat u denkt dat Minted het incident goed heeft bekendgemaakt. Als je echter wat verder graaft, zul je zien dat dit niet echt het geval was.

Mensen weten al weken van het datalek van Minted

Er moet worden gezegd dat er een paar details ontbreken in de melding van datalekken van Minted. De melding zegt bijvoorbeeld niet dat het aantal getroffen gebruikers rond de 5 miljoen ligt. Er staat ook niet in wat voor soort hashing-algoritme het bedrijf gebruikte om het wachtwoord te beschermen. Volgens experts die een voorbeeld van de gestolen database hebben gezien, is het Blowfish en kan het worden gekraakt met de juiste tools. Cruciaal was dat Minted niet zei dat de gegevens nu al drie weken voor $ 2.500 te koop zijn en dat vrijwel iedereen ervan op de hoogte was.

De van Minted gestolen database is nu in handen van een hackgroep genaamd Shiny Hunters. De bemanning kwam vorige maand op de voorgrond toen ze aankondigde 91 miljoen records te hebben gestolen van Tokopedia, een van de grootste e-commerceplatforms van Indonesië. Shiny Hunters vroeg de hackersgemeenschap eerst om hen te helpen de wachtwoorden in de database te verwijderen, en ze boden het vervolgens te koop aan op het dark web. De groep is ook verbonden met de verkoop van ongeveer 22 miljoen records die zijn gestolen van een online onderwijsplatform genaamd Unacademy. In dat geval was het hashing-algoritme sterk, waardoor de prijs aanzienlijk daalde, en om ervoor te zorgen dat hun inkomen een paar dagen later stabiel bleef, stelden de hackers maar liefst tien extra databases te koop die waren gestolen van verschillende online diensten. Zoals je misschien al geraden had, was Minted er een van.

De enorme dump heeft miljoenen mensen getroffen en het was belangrijk om ze zo snel mogelijk hierover te informeren. Dit is helaas niet gebeurd. Nieuwsuitzendingen zoals ZDNet die over het verhaal rapporteerden, probeerden contact op te nemen met alle betrokken bedrijven, maar hun e-mails bleven grotendeels genegeerd. In de kennisgeving van gisteren zeiden vertegenwoordigers van Minted dat ze op de hoogte waren van het incident op 15 mei, ondanks het feit dat verslaggevers hen een week daarvoor hadden gewaarschuwd.

Uiteindelijk begonnen de slachtoffers toe te geven dat ze een gegevensbeveiligingsincident hebben meegemaakt, en Minted is de laatste die op de proppen komt. Ze hebben echter allemaal niet onthuld waarom het zo lang heeft geduurd.

We kunnen ons voorstellen dat het openbaar maken van een datalek waarschijnlijk niet het gemakkelijkste ter wereld is voor de PR-teams van de bedrijven, maar na dergelijke incidenten zou de belangrijkste focus voor iedereen de beveiliging van gebruikers moeten zijn, en door de openbaarmaking uit te stellen, dienstverleners doen niets anders dan hun klanten nog meer in gevaar brengen.