Zello-gebruikers worden gedwongen wachtwoorden opnieuw in te stellen nadat een datalek is ontdekt

Zello is een push-to-talk-applicatie met meer dan 100 miljoen gebruikers over de hele wereld. De makers ervan hebben ook een versie ontwikkeld voor politieagenten, brandweerlieden en paramedici die deze kunnen gebruiken voor directe communicatie tijdens noodgevallen. Gelukkig werd deze versie niet getroffen door een recent datalek dat Zello heeft geleden.

Zello werd begin juli getroffen door een datalek

Op 8 juli merkte Zello 'ongebruikelijke activiteit' op een van zijn servers op. Het schopte de indringers eruit, informeerde de wetshandhaving en belde een onafhankelijk bedrijf om te helpen met het onderzoek.

Zoals we al vermeldden, kwamen ze erachter dat Zello for First Responders niet werd getroffen door de inbreuk, en Zello Work, de betaalde versie van de push-to-talk-app, evenmin. Alleen de gebruikers van de gratis Zello-app werden geraakt en de melding van datalekken probeert het te laten klinken alsof ze zich niet zoveel zorgen hoeven te maken.

Blijkbaar wisten de hackers toegang te krijgen tot een database met de e-mailadressen en gehashte wachtwoorden van alle Zello-gebruikers. Het bedrijf wijst erop dat de meeste mensen hun e-mailadres niet gebruiken als gebruikersnaam en / of wachtwoord, wat het risico op een succesvolle overname van een account verkleint. Desalniettemin zullen alle gebruikers, uit voorzorg, hun wachtwoord opnieuw moeten instellen de volgende keer dat ze inloggen op de app, en ze worden ook aangeraden om het te wijzigen op andere websites waar ze het mogelijk hebben hergebruikt.

Zello is niet bereid om te veel details te delen

Het moet gezegd worden dat de aanmelding beslist schaars is op details. Er is geen informatie over hoe de hackers erin zijn geslaagd in te breken en wat het bedrijf heeft gedaan om te voorkomen dat soortgelijke incidenten zich in de toekomst voordoen. We realiseren ons dat Zello misschien nog niet het volledige plaatje heeft, maar na bijna een maand onderzoek moet het een relatief duidelijk idee hebben van wat er is gebeurd en waarom.

Een ding dat Zello wel weet, maar heeft besloten niet bekend te maken, is het hashing-algoritme dat werd gebruikt om de wachtwoorden te beschermen. We weten heel goed dat hashen de beste manier is om inloggegevens veilig op te slaan, maar we weten ook dat sommige hash-algoritmen robuuster zijn dan andere. Als de hackers in staat zijn om de hashes te kraken en de leesbare wachtwoorden te extraheren, bevinden de gebruikers zich in een veel precairere situatie.

Sommigen van u zouden kunnen zeggen dat Zello hen helpt het risico te beperken door gebruikers te vragen hun wachtwoord te wijzigen. Realistisch gezien zal een enkele melding van een datalek echter niet 100 miljoen mensen ertoe brengen hun wachtwoordbeheerpraktijken volledig te herzien, vooral als in de genoemde melding staat dat de aangetaste inloggegevens "onleesbaar" zijn. Als het bedrijf transparanter is over de risico's waarmee gebruikers worden geconfronteerd, is het aantal mensen dat stopt en nadenkt over de beveiliging van hun online accounts waarschijnlijk veel groter. Natuurlijk mogen we de mogelijkheid niet negeren dat Zello de wachtwoorden van gebruikers veilig heeft gehasht, maar de onzekerheid en het gebrek aan specifieke informatie doen niets om veiligheidsbewuste gebruikers te verzekeren dat alles in orde is.