Hackare bryter med Mixcloud och säljer användarnas data online

Mixcloud Data Breach

När de bryter mot en onlinetjänst eller en webbplats försöker hackare vanligtvis tjäna pengar på de uppgifter de har stulit genom att sälja dem antingen på den mörka webben eller på ett av de många hackforum som indexeras av Google och är lättillgängliga. Med tanke på hur värdefull personlig information ofta kan vara att sälja informationen till andra brottslingar är det inte så mycket utmanande. Uppenbarligen är emellertid de pilferade databaserna ibland svårare att flytta. En hacker som till exempel gick smeknamnet A_W_S, hade förmodligen svårt att sälja en databas som han/hon stulit från Streamcloud-streamingtjänsten, varför de beslutade att få ut ordet genom att skryta av attacken till media.

Förra veckan kom A_W_S i kontakt med Zack Whittaker från TechCrunch, Joseph Cox från moderkortet och Catalin Cimpanu från ZDNet och berättade för dem att Mixcloud hade drabbats av ett dataintrång. A_W_S sade att han/hon ensam hade lyckats flytta posten till 21 miljoner prenumeranter, och uppgifterna var till salu på en mörk marknad på webben.

A_W_S är faktiskt inte nytt för den här typen av saker. Enligt ZDNets reporter arbetade de tillsammans med en annan cyberkriminalitet känd som Gnosticplayers, vars kärlek till mediauppmärksamhet blev uppenbar tidigare i år efter några relativt högprofilerade attacker. Men hur fungerar Mixcloud-brottet mot Gnosticplayers aktiviteter?

Inte världens mest hemskt överträdelse

Alla tre nyhetsutrustningarna fick prover av uppgifterna för att bekräfta dess äkthet. Reportrar såg användarnamn, e-post- och IP-adresser, datum för kontoregistrering och saltade hashar av människors lösenord i databasen. De kom i kontakt med några av de drabbade individerna och försökte registrera nya Mixcloud-konton med några av e-postmeddelandena, och de bekräftade att informationen verkligen är äkta. De datum då några av registreringarna gjordes antydde att attacken drogs ut för bara veckor sedan. Så, uppgifterna är verkliga och de är troligen giltiga. Det är då bra att det inte finns en hel del av det.

Efter att det fick veta om överträdelsen påpekade Mixcloud att det inte lagrar några kreditkortsuppgifter eller fysiska adresser. Det sade också att de flesta av sina användare har registrerat sig för tjänsten med sina Facebook-konton, vilket i sig begränsar mängden exponerad information till en viss grad. Ännu viktigare sa leverantören av streamingtjänster att de stulna lösenorden har saltats och hashats säkert, vilket nyhetsställena lyckades bekräfta. Mixcloud använde SHA-2 - en hashningsalgoritm som är praktiskt taget omöjlig att vända.

Som ett resultat kommer de skurkar som betalar för databasen faktiskt inte en hel del för sina pengar, vilket är förmodligen anledningen till att uppgifterna inte lockar så mycket uppmärksamhet. När TechCrunch och moderkort skrev om brottet den 29 november bad A_W_S 0,5 bitcoin eller 4 000 dollar för det, men när ZDNets rapport kom ut den 1 december hade priset sänkts till 0,27 bitcoin eller cirka 2 000 dollar.

Inte det bästa svaret i världen

Mixcloud visste uppenbarligen ingenting om brottet innan den första rapporten i media. Cirka 24 timmar efter att nyheterna bröt, kom leverantören av streamingtjänster med vad Zack Whittaker snarare noggrant beskrev som "ett företagsutlåtande för kedjan". Utöver det oundvikliga uttalandet "vi tar säkerhet mycket allvarligt" innehöll blogginlägget information om lösenordets lagringsmekanismer och om den relativt begränsade mängden data som exponerades. Det innehöll inte antalet människor som drabbades av överträdelsen, och det sa ingenting om de försiktighetsåtgärder som vidtagits för att bättre skydda dem i framtiden. Beslutet att inkludera ett FAQ-avsnitt som endast har två frågor är också ganska konstigt med tanke på det faktum att mer än 20 miljoner poster påstås ha blivit stulna.

När reportrar bad om ytterligare kommentarer, förblev Mixclouds talesman tyst, vilket är ännu ett bevis på att leverantören av streamingtjänster kunde ha varit lite mer öppen i sin avslöjande. Vi kan bara hoppas att andra leverantörer som får dataöverträdelser kan hantera dem lite bättre.

December 3, 2019
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.