Minted äntligen Fessed till ett dataöverträdelse, men först efter 5 miljoner poster hittades online

Igår, Minted, en marknadsplats där oberoende artister dela och tjäna pengar på sina skapelser, meddelade att det hade lidit dataintrång. "Utanför kriminaltekniska experter" hjälpte Minted att genomföra en utredning som fastställde att den 6 maj stal hackare användarnas namn och inloggningsuppgifter. Telefonnummer, fakturerings- och leveransadresser samt födelsedatum för en del av de drabbade individerna kan också ha blivit stulna.

Överträdelsen verkar inte vara så illa

Den goda nyheten är att människors finansiella data inte påverkats. Utöver detta hasades och saltas lösenorden enligt meddelandet, vilket innebär att hackare kommer att ha svårt att använda dem för att kompromissa offerens Minted-konton. Kom ihåg att alla Minted-kunder uppmanas att ändra sina lösenord av en mängd försiktighet.

Ett dataöverträdelse kan aldrig vara goda nyheter, men det måste sägas att vissa incidenter är värre än andra. Det Minted hacket verkar inte vara så illa. Vissa personliga uppgifter stulades faktiskt och potentiellt drabbade användare måste vara på jakt efter phishing-attacker, men baserat på vad företaget skrev är faran inte så stor. Tidslinjen som presenteras i meddelandet om dataöverträdelse kan också leda till att du tror att Minted gjorde ett bra jobb med att avslöja händelsen. När du gräver lite längre ser du dock att detta inte riktigt var fallet.

Människor har känt till Minted-dataöverträdelsen i veckor

Det måste sägas att några detaljer saknas i Minteds meddelande om överträdelse av data. Meddelandet säger till exempel inte att antalet berörda användare ligger på cirka 5 miljoner. Det säger inte heller vilken slags hashningsalgoritm företaget använde för att skydda lösenordet. Enligt experter som har sett ett urval av den stulna databasen är det Blowfish, och det kan knäckas med rätt verktyg. Av avgörande betydelse sa Minted inte att uppgifterna har varit i försäljning för 2 500 dollar i tre veckor nu och att mer eller mindre alla visste om det.

Databasen som stulits från Minted är nu i händerna på en hackinggrupp som heter Shiny Hunters. Besättningen blev framträdande förra månaden när den meddelade att den hade stulit 91 miljoner skivor från Tokopedia, en av Indonesiens största e-handelsplattformar. Shiny Hunters bad först hackningssamhället att hjälpa dem att rensa lösenorden i databasen, och de erbjöd dem sedan till salu på den mörka webben. Gruppen är också kopplad till försäljningen av cirka 22 miljoner skivor stulna från en online-utbildningsplattform som heter Unacademy. I så fall var hash-algoritmen stark, vilket sänkte priset avsevärt, och för att säkerställa att deras inkomster är stadiga, några dagar senare, satte hackarna ut till försäljning inte mindre än tio ytterligare databaser stulna från olika onlinetjänster. Som ni redan har gissat var Minted en av dem.

Den enorma dumpningen drabbade miljoner människor, och det var viktigt att informera dem om det så snabbt som möjligt. Tyvärr hände detta inte. Nyhetsställen som ZDNet som rapporterade om historien försökte komma i kontakt med alla berörda företag, men deras e-postmeddelanden förblev till stor del ignorerade. I gårdagens anmälan sade Minted-representanter att de fick veta om händelsen den 15 maj, trots att reportrar varnade dem om det en hel vecka innan det.

Så småningom offer började erkänna att de har gått igenom en datasäkerhet incident och Minted är den senaste att fess upp. De har dock alla misslyckats med att avslöja vad som tog dem så lång tid.

Vi kan föreställa oss att avslöja ett dataintrång troligen inte är det enklaste i världen för företagens PR-team, men i kölvattnet av sådana incidenter bör huvudfokus för alla vara användarnas säkerhet och genom att försena avslöjandet, tjänsteleverantörer gör ingenting mer än att sätta sina kunder ännu större risk.