Minted Nareszcie przyznał się do naruszenia danych, ale dopiero po znalezieniu online 5 milionów rekordów

Minted Data Breach

Wczoraj Minted, rynek, na którym niezależni artyści dzielą się swoimi dziełami i zarabiają na nich, ogłosił, że doszło do naruszenia danych. „Zewnętrzni eksperci kryminalistyczni” pomogli Minted w przeprowadzeniu dochodzenia, które wykazało, że 6 maja hakerzy ukradli nazwy użytkowników i dane logowania. Numery telefonów, adresy do fakturowania i wysyłki, a także daty urodzenia części osób, których to dotyczy, również mogły zostać skradzione.

Naruszenie nie wydaje się takie złe

Dobra wiadomość jest taka, że dane finansowe ludzi nie zostały naruszone. Ponadto hasła są mieszane i solone zgodnie z zawiadomieniem, co oznacza, że hakerzy będą mieli trudności z wykorzystaniem ich do złamania konta Minted ofiar. Pamiętaj, że z mnóstwa ostrożności wszyscy klienci Minted są proszeni o zmianę hasła.

Naruszenie danych nigdy nie może być dobrą wiadomością, ale trzeba powiedzieć, że niektóre incydenty są gorsze niż inne. Hak Minted nie wydaje się taki zły. Rzeczywiście, niektóre dane osobowe zostały skradzione i potencjalnie dotknięci użytkownicy muszą szukać ataków phishingowych, ale w oparciu o to, co napisała firma, niebezpieczeństwo nie jest tak duże. Oś czasu przedstawiona w powiadomieniu o naruszeniu danych może również prowadzić do przekonania, że Minted wykonał dobrą robotę, ujawniając incydent. Jednak po dokładniejszym wykopaniu zobaczysz, że tak naprawdę nie było.

Ludzie wiedzieli o naruszeniu bezpieczeństwa Minted od tygodni

Trzeba powiedzieć, że w powiadomieniu Minted brakuje kilku szczegółów. Zawiadomienie nie mówi na przykład, że liczba dotkniętych użytkowników wynosi około 5 milionów. Nie mówi też, jakiego rodzaju algorytmu mieszającego firma używała do ochrony hasła. Według ekspertów, którzy widzieli próbkę skradzionej bazy danych, jest to Blowfish i można ją złamać za pomocą odpowiednich narzędzi. Co najważniejsze, Minted nie powiedział, że dane są w sprzedaży za 2500 $ od trzech tygodni i że mniej więcej wszyscy o tym wiedzieli.

Baza danych skradziona Minted jest teraz w rękach grupy hakerów o nazwie Shiny Hunters. Ekipa zyskała na znaczeniu w zeszłym miesiącu, kiedy ogłosiła, że ukradła 91 milionów rekordów z Tokopedia, jednej z największych platform e-commerce w Indonezji. Shiny Hunters najpierw poprosił społeczność hakerską o pomoc w odhashowaniu haseł w bazie danych, a następnie zaoferował ją do sprzedaży w ciemnej sieci. Grupa jest również związana ze sprzedażą około 22 milionów rekordów skradzionych z internetowej platformy edukacyjnej Unacademy. W takim przypadku algorytm mieszania był silny, co znacznie obniżyło cenę, i aby zapewnić stały dochód, kilka dni później hakerzy wystawili na sprzedaż nie mniej niż dziesięć dodatkowych baz danych skradzionych z różnych usług internetowych. Jak już zapewne się domyślacie, Minted był jednym z nich.

Ogromny zrzut dotknął miliony ludzi i ważne było, aby poinformować ich o tym jak najszybciej. Niestety tak się nie stało. Wiadomości, takie jak ZDNet, które relacjonowały historię, próbowały skontaktować się ze wszystkimi zainteresowanymi firmami, ale ich e-maile pozostały w dużej mierze ignorowane. We wczorajszym powiadomieniu przedstawiciele Minted powiedzieli, że dowiedzieli się o incydencie 15 maja, pomimo faktu, że reporterzy ostrzegali ich o tym cały tydzień wcześniej.

W końcu ofiary zaczęły przyznawać się do incydentu związanego z bezpieczeństwem danych, a Minted jest ostatnim, który przyznał się do winy. Wszyscy jednak nie ujawnili, co zajęło im tak długo.

Możemy sobie wyobrazić, że ujawnienie naruszenia danych prawdopodobnie nie jest najłatwiejszą rzeczą na świecie dla zespołów PR firm, ale po takich incydentach głównym celem dla wszystkich powinno być bezpieczeństwo użytkowników, a poprzez opóźnienie ujawnienia, dostawcy usług nie robią nic więcej niż narażają swoich klientów na jeszcze większe ryzyko.

May 29, 2020

Zostaw odpowiedź