Użytkownicy Zello są zmuszeni do resetowania haseł po wykryciu naruszenia danych

Zello to aplikacja typu „naciśnij i mów”, która ma ponad 100 milionów użytkowników na całym świecie. Jego twórcy opracowali także wersję dla policjantów, strażaków i ratowników medycznych, którzy mogą wykorzystać ją do natychmiastowej komunikacji w sytuacji zagrożenia. Na szczęście ta wersja nie została dotknięta niedawnym naruszeniem danych, którego doznał Zello.

Zello został dotknięty wyciekiem danych na początku lipca

8 lipca Zello zauważył „nietypową aktywność” na jednym ze swoich serwerów. Wyrzucił intruzów, zawiadomił organy ścigania i wezwał niezależną firmę do pomocy w dochodzeniu.

Jak już wspomnieliśmy, zorientowali się, że naruszenie nie miało wpływu na Zello for First Responders, podobnie jak Zello Work, płatna wersja aplikacji Push-to-Talk. Tylko użytkownicy bezpłatnej aplikacji Zello zostali trafieni, a powiadomienie o naruszeniu danych próbuje sprawić, by brzmiało to tak, jakby nie mieli się o co martwić.

Najwyraźniej hakerom udało się uzyskać dostęp do bazy danych, która zawierała adresy e-mail i zaszyfrowane hasła wszystkich użytkowników Zello. Firma zwraca uwagę, że większość ludzi nie używa swojego adresu e-mail jako nazwy użytkownika i / lub hasła, co zmniejsza ryzyko pomyślnego przejęcia konta. Niemniej jednak, ze względu na dużą ostrożność, wszyscy użytkownicy będą musieli zresetować swoje hasła przy następnym logowaniu do aplikacji, a także zachęca się ich do zmiany na innych stronach internetowych, w których mogliby je ponownie wykorzystać.

Zello nie chce ujawniać zbyt wielu szczegółów

Trzeba powiedzieć, że powiadomienie jest zdecydowanie ubogie w szczegóły. Nie ma informacji, w jaki sposób hakerzy zdołali się włamać i co firma zrobiła, aby zapobiec podobnym incydentom w przyszłości. Zdajemy sobie sprawę, że Zello może jeszcze nie mieć pełnego obrazu, ale po prawie miesiącu badań musi mieć stosunkowo jasne pojęcie o tym, co się stało i dlaczego.

Jedną rzeczą, o której Zello wie, ale zdecydował się nie ujawniać, jest algorytm mieszający, który został użyty do ochrony haseł. Doskonale wiemy, że haszowanie to najlepszy sposób na bezpieczne przechowywanie danych logowania, ale wiemy też, że niektóre algorytmy haszujące są bardziej niezawodne niż inne. Jeśli hakerzy są w stanie złamać skróty i wyodrębnić hasła w postaci zwykłego tekstu, użytkownicy są w znacznie bardziej niebezpiecznej sytuacji.

Niektórzy z was mogą powiedzieć, że prosząc użytkowników o zmianę haseł, Zello pomaga im zmniejszyć ryzyko. Realistycznie jednak, pojedyncze powiadomienie o naruszeniu danych nie zmusi 100 milionów ludzi do pełnego przeglądu swoich praktyk zarządzania hasłami, zwłaszcza jeśli wspomniane powiadomienie stwierdza, że naruszone dane uwierzytelniające są „nieczytelne”. Jeśli firma jest bardziej przejrzysta w kwestii zagrożeń, na jakie narażeni są użytkownicy, liczba osób, które zatrzymają się i pomyślą o bezpieczeństwie swoich kont internetowych, prawdopodobnie będzie znacznie wyższa. Oczywiście nie powinniśmy odrzucać możliwości, że Zello bezpiecznie szyfruje hasła użytkowników, ale niepewność i brak konkretnych informacji nie robią nic, aby zapewnić świadomych bezpieczeństwa użytkowników, że wszystko jest w porządku.