Minted最终陷入数据泄露,但只有在网上找到500万条记录之后

Minted Data Breach

昨天,独立艺术家共享作品并从中获利的市场Minted 宣布其遭受数据泄露。 “外部法医专家”帮助Minted进行了一项调查,该调查确定5月6日,黑客窃取了用户的名称和登录凭据。电话号码,账单和送货地址以及部分受影响个人的出生日期也可能被盗。

违反似乎并不那么糟糕

好消息是,人们的财务数据没有受到影响。除此之外,还会根据通知对密码进行哈希处理和加密处理,这意味着黑客将很难用它们来破坏受害者的Minted帐户。请注意,出于谨慎考虑,建议所有Minted客户更改其密码。

数据泄露永远不是一个好消息,但是必须说,某些事件比其他事件更严重。 Minted hack似乎没有那么糟糕。确实,一些个人信息被盗,可能受到影响的用户必须警惕网络钓鱼攻击,但根据该公司的说法,危险并不那么大。数据泄露通知中显示的时间轴也可能使您相信Minted在披露事件方面做得很好。但是,当您进一步深入研究时,您会发现事实并非如此。

人们已经了解Minted数据泄露事件已有数周了

必须说,Minted的数据泄露通知中缺少一些细节。例如,该通知并未说明受影响的用户数量约为500万。它还没有说明该公司用于保护密码的哪种哈希算法。据看到失窃数据库样本的专家说,它是河豚,可以使用正确的工具破解它。至关重要的是,Minded并没有说该数据现在已经以3,500美元的价格出售了三周,而且每个人或多或少都知道这一点。

从Minted窃取的数据库现在由一个名为Shiny Hunters的黑客组织掌握。机组人员在上个月宣布其已从印度尼西亚最大的电子商务平台之一的Tokopedia那里窃取了9100万条记录时就变得举世瞩目 。 Shiny Hunters首先要求黑客社区帮助他们对数据库中的密码进行哈希处理,然后将其提供给在暗网上出售。该组织还与从称为Unacademy的在线教育平台盗窃的大约2200万张唱片有关 。在那种情况下,散列算法很强大,这大大降低了价格,并确保他们的收入稳定,几天后,黑客又出售了不少于十个从各种在线服务中盗窃的数据库。您可能已经猜到,Minded就是其中之一。

大规模垃圾场影响了数百万人,因此必须尽快告知他们。可悲的是,这没有发生。像ZDNet这样的新闻媒体报道了这个故事,试图与所有受影响的公司取得联系,但他们的电子邮件在很大程度上仍被忽略。在昨天的通知中,铸币局代表表示,尽管事件在整整一周前都已通知他们,但他们已于5月15日了解到这一事件。

最终,受害者开始承认自己经历了一次数据安全事件,而Minted是最新的一次。不过,他们都没有透露花费了这么长时间的事情。

我们可以想象到,对于公司的PR团队来说,披露数据泄漏可能不是世界上最容易的事情,但是在发生此类事件之后,每个人的主要关注点应该是用户的安全,并通过延迟披露,服务提供商所做的只是让客户面临更大的风险。

May 29, 2020

发表评论