Um mês após a Poshmark confirmar a violação de dados, as informações privadas do usuário são vendidas on-line
Quase exatamente um mês atrás, o mercado norte-americano de roupas online Poshmark anunciou que havia sofrido uma violação de dados. Por razões que ainda não estão claras, o site decidiu não divulgar quantas pessoas foram afetadas, mas como as agências de notícias que cobriam o incidente apontaram na época, a Poshmark tem dezenas de milhões de usuários, portanto o impacto potencial foi bastante significativo desde o início . Infelizmente, o tamanho real do banco de dados roubado permaneceu desconhecido. Até ontem, é isso.
Na semana passada, uma pessoa que deseja ser referida por seu endereço de e-mail - JimScott.Sec@protonmail.com - pegou as mãos nos dados roubados da Poshmark e decidiu compartilhá-los com a lenda da segurança cibernética Troy Hunt. Hunt processou as informações e as carregou em seu serviço de alerta de violação de dados HaveIBeenPwned . Graças a isso, agora sabemos que pouco mais de 36 milhões de contas foram expostas.
Muitas pessoas são afetadas. Mas quão preocupados eles deveriam estar?
O que os hackers roubaram?
Desde o início, a Poshmark estava interessada em ressaltar que os cibercriminosos não roubaram dados ou informações financeiras relacionadas aos endereços físicos dos clientes. A publicação do blog dizia que, além de levar informações publicamente disponíveis, como nomes e nomes de usuários, os cibercriminosos conseguiram fugir com um banco de dados interno contendo o email das pessoas e as configurações de notificação por push.
Até agora, não é digno de nota, mas Poshmark admitiu que os dados internos da conta também foram expostos. Isso inclui endereços de e-mail, IDs de usuário, preferências de tamanho e, mais importante, "senhas criptografadas unidirecionais salgadas exclusivamente por usuário". O varejista então explicou que havia usado o bcrypt - um dos poucos algoritmos de hash considerados seguros o suficiente para serem usados para armazenar senhas . Apesar disso, a Poshmark aconselhou seus usuários a alterar suas senhas por precaução.
Portanto, enquanto os 36 milhões de clientes da Poshmark deveriam estar atentos a e-mails de spam e phishing, não há muito o que entrar em pânico. Novas informações surgiram na segunda-feira, no entanto, o que parece um pouco preocupante.
Hackers supostamente estão vendendo senhas rachadas da Poshmark
Depois que Troy Hunt anunciou que os dados da Poshmark foram carregados no HaveIBeenPwned, a Bleeping Computer entrou em contato com JimScott.Sec@protonmail.com (que tem experiência em lidar com esse tipo de incidente, a propósito) e fez algumas perguntas sobre o em formação. O indivíduo misterioso disse ao site de notícias de segurança que havia visto o banco de dados completo, com todas as 36 milhões de contas, trocando de mãos na dark web por apenas US $ 750. Ele também observou, no entanto, que havia visto cerca de 1 milhão de contas Poshmark quebradas sendo oferecidas a um preço muito mais alto. Se isso for verdade, os hackers estão vendendo conjuntos completos de credenciais de login, o que significa que de alguma maneira conseguiram recuperar as senhas de texto sem formatação das pessoas.
Essa é uma reviravolta interessante, porque se a divulgação inicial da Poshmark for verdadeira, as senhas não deverão ser recuperadas. Especialistas dizem que o bcrypt é um algoritmo adequado para hash de senhas por um motivo muito bom. Embora possa ser teoricamente possível decifrá-lo, mesmo com o hardware poderoso de hoje, fazê-lo não é prático. Isso sugere que a implementação do varejista de roupas não estava correta ou os hackers simplesmente adivinharam as 1 milhão de senhas da Poshmark que estão vendendo.
Seja qual for o caso, o simples fato de essas credenciais serem negociadas nos mercados subterrâneos mais uma vez destaca a importância de proteger todas as suas contas com senhas fortes e exclusivas.