Os usuários do Zello são forçados a redefinir senhas após a descoberta de uma violação de dados
O Zello é um aplicativo push-to-talk com mais de 100 milhões de usuários em todo o mundo. Seus criadores também desenvolveram uma versão para policiais, bombeiros e paramédicos que podem usá-lo para comunicação instantânea durante uma emergência. Felizmente, esta versão não foi afetada por uma violação de dados recente sofrida pelo Zello.
Zello foi atingido por uma violação de dados no início de julho
Em 8 de julho, o Zello notou "atividade incomum" em um de seus servidores. Ele expulsou os invasores, notificou a polícia e chamou uma empresa independente para ajudar na investigação.
Como já mencionamos, eles descobriram que o Zello for First Responders não foi afetado pela violação, nem o Zello Work, a versão paga do aplicativo push-to-talk. Somente os usuários do aplicativo Zello gratuito foram atingidos e a notificação de violação de dados tenta fazer parecer que eles não têm muito com que se preocupar.
Aparentemente, os hackers conseguiram acessar um banco de dados que continha os endereços de email e hash de senhas de todos os usuários do Zello. A empresa ressalta que a maioria das pessoas não usa o endereço de email como nome de usuário e / ou senha, o que reduz o risco de uma aquisição bem-sucedida da conta. No entanto, com muita cautela, todos os usuários precisarão redefinir suas senhas na próxima vez que fizerem login no aplicativo e também serão instados a alterá-los em outros sites nos quais possam ter reutilizado.
Zello não está disposto a compartilhar muitos detalhes
Deve-se dizer que a notificação é decididamente escassa em detalhes. Não há informações sobre como os hackers conseguiram invadir e o que a empresa fez para impedir que incidentes semelhantes ocorram no futuro. Percebemos que o Zello talvez ainda não tenha uma visão completa, mas após quase um mês de investigação, ele deve ter uma idéia relativamente clara do que aconteceu e por quê.
Uma coisa que o Zello sabe, mas decidiu não divulgar, é o algoritmo de hash usado para proteger as senhas. Sabemos perfeitamente que o hash é a melhor maneira de armazenar dados de login com segurança, mas também sabemos que alguns algoritmos de hash são mais robustos que outros. Se os hackers são capazes de decifrar os hashes e extrair as senhas em texto sem formatação, os usuários estão em uma situação muito mais precária.
Alguns de vocês podem dizer que, ao solicitar aos usuários que alterem suas senhas, o Zello os ajuda a reduzir o risco. Realisticamente, no entanto, uma única notificação de violação de dados não fará com que 100 milhões de pessoas façam uma revisão completa de suas práticas de gerenciamento de senhas, especialmente se a notificação mencionar que as credenciais comprometidas são "ilegíveis". Se a empresa for mais transparente com relação aos riscos que os usuários enfrentam, é provável que o número de pessoas que parem e pensem na segurança de suas contas online seja muito maior. Obviamente, não devemos descartar a possibilidade de que o Zello tenha criptografado as senhas dos usuários com segurança, mas a incerteza e a falta de informações específicas não estão fazendo nada para garantir aos usuários preocupados com a segurança que tudo está bem.