发现数据泄露后,Zello用户被迫重置密码
Zello是一键通应用程序,在全球拥有超过1亿用户。它的创建者还为警务人员,消防员和护理人员开发了一个版本,可以在紧急情况下使用该版本进行即时通信。幸运的是,此版本不受Zello最近遭受数据泄露的影响。
Zello在7月初受到数据泄露的打击
7月8日,Zello 注意到其中一台服务器上的“异常活动”。它把入侵者赶出去,并通知执法部门,并打电话给一家独立的公司来协助调查。
正如我们已经提到的,他们发现针对第一响应者的Zello不受此漏洞的影响,即按即说应用程序的付费版本Zello Work也不受该漏洞的影响。只有免费的Zello应用程序的用户受到了打击,并且数据泄露通知试图使其听起来好像他们没有太多的担心。
显然,黑客设法访问了包含所有Zello用户的电子邮件地址和哈希密码的数据库。该公司指出,大多数人不使用电子邮件地址作为用户名和/或密码,这降低了成功接管帐户的风险。但是,出于谨慎考虑,所有用户下次登录应用程序时都需要重设密码,并且还敦促他们在可能会重复使用它的其他网站上进行更改。
Zello不愿意分享太多细节
必须说,通知绝对缺乏细节。没有关于黑客如何闯入以及该公司为防止将来发生类似事件所做的工作的信息。我们意识到Zello可能还没有完整的画面,但是经过近一个月的调查,它必须对发生的事情和原因有一个相对清晰的认识。
Zello确实知道但决定不公开的一件事是用于保护密码的哈希算法。我们完全知道哈希是安全存储登录数据的最佳方法,但是我们也知道某些哈希算法比其他算法更健壮。如果黑客能够破解哈希并提取明文密码,则用户将处于更加不稳定的境地。
某些人可能会说,通过要求用户更改密码,Zello帮助他们减轻了风险。但是,实际上,一个数据泄露通知并不会使1亿人对其密码管理做法进行全面审查,尤其是如果该通知指出受感染的凭据“不可读”。如果公司对用户面临的风险更加透明,那么停下脚步思考其在线帐户安全性的人数可能会更高。当然,我们不应该忽略Zello安全地对用户密码进行哈希处理的可能性,但是不确定性和缺少特定信息并不能确保安全意识强的用户一切都很好。