Finalmente, a empresa cunhada sofreu uma violação de dados, mas somente após 5 milhões de registros foram encontrados on-line

Ontem, o Minted, um mercado em que artistas independentes compartilham e monetizam suas criações, anunciou que havia sofrido uma violação de dados. 'Especialistas forenses externos' ajudaram Minted a realizar uma investigação que determinou que, em 6 de maio, hackers roubaram nomes de usuários e credenciais de login. Os números de telefone, endereços de cobrança e envio, bem como as datas de nascimento de uma parte das pessoas afetadas, também podem ter sido roubados.

A violação não parece ser tão ruim

A boa notícia é que os dados financeiros das pessoas não foram afetados. Além disso, as senhas são hash e salgadas de acordo com o aviso, o que significa que os hackers terão dificuldade em usá-las para comprometer as contas cunhadas das vítimas. Lembre-se, com muita cautela, todos os clientes da Minted são instados a alterar suas senhas.

Uma violação de dados nunca pode ser uma boa notícia, mas é preciso dizer que alguns incidentes são piores que outros. O truque Minted não parece ser tão ruim assim. De fato, algumas informações pessoais foram roubadas e os usuários potencialmente afetados devem estar atentos a ataques de phishing, mas com base no que a empresa escreveu, o perigo não é tão grande. A linha do tempo apresentada na notificação de violação de dados também pode levar você a acreditar que a Minted fez um bom trabalho ao divulgar o incidente. Quando você se aprofundar um pouco mais, no entanto, verá que esse não era realmente o caso.

As pessoas sabem da violação de dados Minted há semanas

Deve-se dizer que faltam alguns detalhes na notificação de violação de dados da Minted. O aviso não diz, por exemplo, que o número de usuários afetados fica em torno de 5 milhões. Também não diz que tipo de algoritmo de hash a empresa usou para proteger a senha. De acordo com especialistas que viram uma amostra do banco de dados roubado, é o Blowfish e pode ser quebrado com as ferramentas certas. Fundamentalmente, a Minted não disse que os dados estão à venda por US $ 2.500 há três semanas e que mais ou menos todos sabiam disso.

O banco de dados roubado da Minted está agora nas mãos de um grupo de hackers chamado Shiny Hunters. A equipe ganhou destaque no mês passado quando anunciou que havia roubado 91 milhões de registros da Tokopedia, uma das maiores plataformas de comércio eletrônico da Indonésia. O Shiny Hunters primeiro pediu à comunidade de hackers que os ajudasse a decifrar as senhas no banco de dados, e eles a ofereceram para venda na dark web. O grupo também está conectado à venda de cerca de 22 milhões de registros roubados de uma plataforma de educação on-line chamada Unacademy. Nesse caso, o algoritmo de hash era forte, o que reduziu consideravelmente o preço e, para garantir que sua renda fosse estável, alguns dias depois, os hackers colocaram à venda nada menos que dez bancos de dados adicionais roubados de vários serviços online. Como você já deve ter adivinhado, Minted era um deles.

O despejo maciço afetou milhões de pessoas, e era importante informá-los sobre isso o mais rápido possível. Infelizmente, isso não aconteceu. Meios de comunicação como o ZDNet que relataram a história tentaram entrar em contato com todas as empresas afetadas, mas seus e-mails continuaram sendo ignorados. Na notificação de ontem, os representantes do Minted disseram que souberam do incidente em 15 de maio, apesar dos repórteres estarem alertando-os sobre o incidente uma semana inteira antes disso.

Eventualmente, as vítimas começaram a admitir que haviam passado por um incidente de segurança de dados, e Minted é o mais recente a confessar. Todos eles não conseguiram divulgar o que os levou tanto tempo.

Podemos imaginar que a divulgação de uma violação de dados provavelmente não é a coisa mais fácil do mundo para as equipes de relações públicas das empresas, mas na sequência de tais incidentes, o foco principal de todos deve ser a segurança dos usuários e, atrasando a divulgação, os prestadores de serviços não fazem nada além de colocar seus clientes em risco ainda maior.