Чеканился, наконец, признался в нарушении данных, но только после того, как 5 миллионов записей были найдены онлайн
Вчера Minted, торговая площадка, где независимые художники делятся своими монетами и монетизируют свои творения, объявила, что пострадала от утечки данных. «Внешние судебные эксперты» помогли Минтеду провести расследование, которое установило, что 6 мая хакеры похитили имена пользователей и учетные данные для входа. Телефонные номера, адреса выставления счетов и доставки, а также даты рождения части пострадавших лиц также могли быть украдены.
Нарушение не так уж плохо
Хорошей новостью является то, что финансовые данные людей не пострадали. В дополнение к этому, пароли хешируются и засоляются в соответствии с уведомлением, что означает, что хакерам будет трудно использовать их для взлома чеканенных учетных записей жертв. Напоминаем, что из-за предосторожности всем клиентам Minted настоятельно рекомендуется сменить свои пароли.
Нарушение данных никогда не может быть хорошей новостью, но нужно сказать, что некоторые инциденты хуже, чем другие. Мятный взлом не кажется таким уж плохим. Действительно, некоторая личная информация была украдена, и потенциально пострадавшие пользователи должны быть в поисках фишинговых атак, но, основываясь на том, что написала компания, опасность не так велика. Сроки, указанные в уведомлении о нарушении данных, могут также привести вас к мысли, что Minted хорошо раскрыл инцидент. Однако, если вы покопаетесь немного дальше, вы увидите, что это не совсем так.
Люди знали о взломе данных в течение нескольких недель
Надо сказать, что некоторые детали отсутствуют в уведомлении о нарушении данных Minted. Например, в уведомлении не говорится, что число затронутых пользователей составляет около 5 миллионов. Также не говорится, какой алгоритм хеширования компания использовала для защиты пароля. По словам экспертов, которые видели образец украденной базы данных, это Blowfish, и его можно взломать с помощью подходящих инструментов. Важно отметить, что Минтед не сказал, что данные поступили в продажу за 2500 долларов уже три недели, и что более или менее все об этом знали.
База данных, украденная у Minted, теперь находится в руках хакерской группы Shiny Hunters. Экипаж стал известен в прошлом месяце, когда объявил, что похитил 91 миллион записей из Tokopedia, одной из крупнейших платформ электронной коммерции в Индонезии. Сначала Shiny Hunters попросили сообщество хакеров помочь им разобрать пароли в базе данных, а затем предложили его для продажи в темной сети. Группа также связана с продажей около 22 миллионов записей, украденных с онлайн-платформы образования под названием Unacademy. В этом случае алгоритм хэширования был надежным, что значительно снизило цену, и для обеспечения стабильного дохода несколько дней спустя хакеры выставили на продажу не менее десяти дополнительных баз данных, похищенных из различных онлайн-сервисов. Как вы уже догадались, Minted был одним из них.
Огромная свалка затронула миллионы людей, и важно было как можно быстрее сообщить им об этом. К сожалению, этого не произошло. Новостные агентства, такие как ZDNet, которые сообщали об этой истории, пытались связаться со всеми затронутыми компаниями, но их электронные письма оставались в основном игнорируемыми. Во вчерашнем уведомлении представители Minted сообщили, что узнали об инциденте 15 мая, несмотря на то, что журналисты предупреждали их об этом за целую неделю до этого.
В конце концов, жертвы начали признавать, что они прошли через инцидент с безопасностью данных, и Minted - последний, кто признал это. Они все не смогли раскрыть то, что заняло их так долго, хотя.
Мы можем себе представить, что раскрытие информации о взломе данных, вероятно, не самая легкая вещь в мире для PR-команд компаний, но после таких инцидентов основным приоритетом для всех должна стать безопасность пользователей и задержка раскрытия, поставщики услуг не делают ничего больше, чем подвергают своих клиентов еще большему риску.