23 milhões de contas foram comprometidas em uma violação de dados do CafePress

CafePress é um varejista on-line que vende de tudo, desde papel de carta, passando por roupas de cama, até moletons com todos os tipos de designs interessantes. Está no negócio há quase vinte anos, mas no momento está meio que em apuros. Não que você possa dizer, lembre-se.

Visite qualquer um dos feeds de mídia social do CafePress, e você ficará pensando que tudo está bem. A página inicial da loja online também não sugere que houve um grande incidente de segurança cibernética. Infelizmente, isso é exatamente o que aconteceu e afetou não menos que 23 milhões de usuários.

Hackers roubaram mais de 23 milhões de registros do CafePress em fevereiro

Um serviço de denúncia de violação com o nome de We Leak Info primeiro deu a notícia em 14 de julho, quando disse que encontrou um banco de dados contendo os registros de mais de 23,3 milhões de usuários do CafePress. De acordo com a We Leak Info, as informações encontradas foram roubadas em fevereiro e incluíam nomes, e-mails e hashes de senhas. Apesar do número significativo de indivíduos afetados, ninguém prestou atenção ao alerta de violação do We Leak Info. Quando Troy Hunt colocou as mãos nos dados, no entanto, as coisas mudaram drasticamente.

Hunt recebeu recentemente o que parece ser informação comprometida do CafePress de uma pessoa que prefere ser conhecida por seu endereço de e-mail - JimScott.Sec@protonmail.com. Em 5 de agosto, Hunt o colocou em seu serviço "Have I Been Pwned" e começou a enviar notificações para as vítimas que haviam assinado seus alertas. No começo, parecia que os dados que ele havia diferenciado do que We Leak Info havia relatado. Hunt disse inicialmente que o banco de dados não contém hashes de senha, mas depois ele atualizou a descrição quando descobriu que algumas senhas codificadas e codificadas eram de fato parte da informação roubada. De acordo com o guru de cibersegurança australiano, no entanto, o despejo também contém números de telefone e endereços físicos.

CafePress age como se nada tivesse acontecido

As pessoas que receberam as notificações de Troy Hunt foram às mídias sociais para tentar descobrir o que estava acontecendo e, em pouco tempo, empresas como Forbes e The Register estavam por toda a história. Previsivelmente, os repórteres tentaram entrar em contato com o CafePress e descobrir mais sobre a violação, mas não receberam resposta.

Mais de 24 horas após os primeiros alertas de Troy Hunt terem começado a voar, a empresa continua em silêncio. CafePress não emitiu uma declaração oficial, sua página no Facebook continua a promover novos produtos e vendas, e no Twitter, o varejista respondeu a apenas uma das muitas perguntas perturbadas que os clientes estão pedindo.

O varejista não ignorou completamente a violação e iniciou uma campanha de redefinição de senha para o que parece ser todos os usuários. A questão é que o texto nas notificações parece ser deliberadamente projetado para desviar a atenção das pessoas da violação de dados. Como o jornalista de tecnologia Darren Pauli relatou , o email afirma que o motivo da mudança de senha está em uma política de senha atualizada. A violação de dados de fevereiro não chega a ser mencionada.

Este tipo de comportamento “cabeça na areia” não está realmente favorecendo a credibilidade do CafePress. Você poderia argumentar que já é tarde demais, mas se eles quiserem parecer remotamente interessados na privacidade das pessoas, o mínimo que a equipe de gerenciamento poderia fazer é anunciar publicamente que seus sistemas foram violados e que eles estão tentando evitar esse tipo de coisa. acontecendo de novo no futuro. Dadas as circunstâncias, é o único curso correto de ação.