Пользователи Zello вынуждены сбрасывать пароли после обнаружения взлома данных
Zello - это приложение «нажми и говори» с более чем 100 миллионами пользователей по всему миру. Его создатели также разработали версию для полицейских, пожарных и медработников, которые могут использовать ее для мгновенного общения во время чрезвычайной ситуации. К счастью, на эту версию не повлияло недавнее нарушение данных, которое перенес Zello.
Zello пострадала от утечки данных в начале июля
8 июля Zello заметил «необычную активность» на одном из своих серверов. Он выгнал злоумышленников, уведомил правоохранительные органы и вызвал независимую компанию для помощи в расследовании.
Как мы уже упоминали, они выяснили, что это нарушение не затронуло Zello for First Responders, равно как и Zello Work, платную версию приложения push-to-talk. Только пользователи бесплатного приложения Zello пострадали, и уведомление о нарушении данных пытается заставить их звучать так, будто им не о чем беспокоиться.
По-видимому, хакерам удалось получить доступ к базе данных, которая содержала адреса электронной почты и хэшированные пароли всех пользователей Zello. Компания отмечает, что большинство людей не используют свой адрес электронной почты в качестве имени пользователя и / или пароля, что снижает риск успешного захвата учетной записи. Тем не менее, из-за предосторожности всем пользователям потребуется сбросить свои пароли при следующем входе в приложение, и им также настоятельно рекомендуется изменить его на других веб-сайтах, где они могли бы использовать его повторно.
Zello не хочет делиться слишком многими деталями
Надо сказать, что в уведомлении явно мало подробностей. Нет информации о том, как хакерам удалось взломать и что компания сделала, чтобы предотвратить подобные инциденты в будущем. Мы понимаем, что у Zello, возможно, еще нет полной картины, но после почти месяца исследований у нее должно быть относительно четкое представление о том, что произошло и почему.
Zello знает, но решил не раскрывать это алгоритм хеширования, который использовался для защиты паролей. Мы прекрасно знаем, что хеширование - лучший способ безопасного хранения данных для входа, но мы также знаем, что некоторые алгоритмы хеширования более надежны, чем другие. Если хакеры могут взломать хэши и извлечь незашифрованные пароли, пользователи окажутся в гораздо более опасном положении.
Некоторые из вас могут сказать, что, предлагая пользователям изменить свои пароли, Zello помогает им снизить риск. Реально, однако, одно уведомление о нарушении данных не заставит 100 миллионов человек полностью пересмотреть свои методы управления паролями, особенно если в указанном уведомлении говорится, что скомпрометированные учетные данные «нечитаемы». Если компания будет более прозрачна в отношении рисков, с которыми сталкиваются пользователи, число людей, которые остановятся и подумают о безопасности своих учетных записей в Интернете, вероятно, будет намного выше. Конечно, мы не должны упускать из виду возможность того, что Zello надежно хэшировал пароли пользователей, но неопределенность и отсутствие конкретной информации ничего не делают для того, чтобы обеспечить уверенность в безопасности пользователей, что все в порядке.