發現數據洩露後,Zello用戶被迫重置密碼
Zello是一鍵通應用程序,在全球擁有超過1億用戶。它的創建者還為警務人員,消防員和護理人員開發了一個版本,可以在緊急情況下使用該版本進行即時通信。幸運的是,此版本不受Zello最近遭受數據洩露的影響。
Zello在7月初受到數據洩露的打擊
7月8日,Zello 注意到其中一台服務器上的“異常活動”。它把入侵者趕出去,並通知執法部門,並打電話給一家獨立的公司來協助調查。
正如我們已經提到的,他們發現“第一響應者” Zello不受此漏洞影響,即按即說應用程序的付費版本Zello Work也不受此影響。只有免費的Zello應用程序的用戶受到了打擊,並且數據洩露通知試圖使其聽起來好像他們沒有太多的擔心。
顯然,黑客設法訪問了包含所有Zello用戶的電子郵件地址和哈希密碼的數據庫。該公司指出,大多數人不使用電子郵件地址作為用戶名和/或密碼,這降低了成功接管帳戶的風險。但是,出於謹慎考慮,所有用戶在下次登錄應用程序時都需要重設密碼,並且還敦促他們在可能會重用該密碼的其他網站上進行更改。
Zello不願意分享太多細節
必須說,通知絕對缺乏細節。沒有關於黑客如何闖入以及該公司為防止將來發生類似事件所做的工作的信息。我們意識到Zello可能還沒有完整的畫面,但是經過近一個月的調查,它必須對發生的事情和原因有一個相對清晰的認識。
Zello確實知道但決定不公開的一件事是用於保護密碼的哈希算法。我們完全知道哈希是安全存儲登錄數據的最佳方法,但是我們也知道某些哈希算法比其他算法更健壯。如果黑客能夠破解哈希並提取明文密碼,則用戶將處於更加不穩定的境地。
某些人可能會說,通過要求用戶更改密碼,Zello幫助他們減輕了風險。但是,實際上,一個數據洩露通知並不會使1億人對其密碼管理做法進行全面審查,特別是如果該通知指出被洩露的憑據“不可讀”。如果公司對用戶面臨的風險更加透明,那麼停下來思考他們的在線帳戶安全性的人數可能會更高。當然,我們不應該忽略Zello安全地對用戶密碼進行哈希處理的可能性,但是不確定性和缺少特定信息並不能確保安全意識強的用戶一切都很好。