ParkMobile dane

Z amerykańskiej platformy parkingowej skradziono dane 21 milionów użytkowników

Jak donosi KrebsOnSecurity, z amerykańskiej platformy parkingowej ParkMobile skradziono dane 21 milionów użytkowników. Chociaż firma umniejszała znaczenie tego zdarzenia, to incydentu nie udało się ukryć. Światło dzienne ujrzały nie tylko e-maile, numery telefonów, czy numery tablic rejestracyjnych, ale także zaszyfrowane hasła Amerykanów.

ParkMobile to platforma oferująca bezpłatną aplikację, która umożliwia użytkownikom wyszukanie wolnych miejsc parkingowych w całych Stanach Zjednoczonych i płacenie za nie bezpośrednio przez aplikację. Ze szczególnym upodobaniem korzystają z niej obywatele Atlanty i Waszyngtonu. W Polsce odpowiednikiem takiej usługi jest mobiParking, z której możemy korzystać m.in. za pośrednictwem aplikacji SkyCash.

Wyciek danych zamieciony pod dywan

26 marca bieżącego roku firma wydała komunikat o incydencie związanym z cyberbezpieczeństwem platformy. Według podanych przez nich informacji problem powiązany był z luką w oprogramowaniu zewnętrznej firmy, z której korzysta. Natychmiast wszczęto dochodzenie z pomocą firmy specjalizującej się w cyberbezpieczeństwie oraz zawiadomiono odpowiednie służby.

ParkMobile podzieliło się również informacją, że według wewnętrznej analizy żadne wrażliwe dane, czy informacje o kartach płatniczych użytkowników nie trafiły w niepowołane ręce. Ponadto firma zapewniła, że podjęła dodatkowe kroki zapobiegawcze oraz wyeliminowała istniejącą lukę w zabezpieczeniach. 

Dane użytkowników na rosyjskich forach

Jak jednak donosi KrebsOnSecurity, rzeczywistość prezentuje się inaczej. Z pomocą Gemini Advisory, firmy zajmującej się badaniem zagrożeń ukrytych w podziemiu cyberprzestępczym, odkryli, że na jednym z rosyjskojęzycznych forów można znaleźć skradzione z ParkMobile dane. A wśród nich adresy e-mail, numery telefonów i numery rejestracyjne pojazdów przypisane użytkownikom. 

KrebsOnSecurity wskazuje, że platforma nie przechowuje haseł użytkowników, jednak na swoich serwerach gromadzi dane wyjściowe jednokierunkowego algorytmu haszowania haseł o nazwie bcrypt. Te dane również można było znaleźć wśród skradzionych z bazy ParkMobile, a co więcej – zostały również wystawione na sprzedaż na wspomnianym wcześniej forum.

– Faktycznie, uzyskano zaszyfrowane hasła bcrypt – tłumaczy Jeff Perkins, rzecznik ParkMobile. – Jednak zagrożone wypłynięciem informacje nie obejmują historii parkowania, historii lokalizacji ani żadnych innych poufnych danych. Nie zbieramy numerów PESEL ani numerów prawa jazdy od naszych użytkowników – kończy.

125 tys. dolarów za poufne dane

KrebsOnSecurity mimo to stawia spory znak zapytania nad słowami rzecznika. Co prawda hasze bcrypt są trudniejsze do złamania niż typowe alternatywy jak MD5, to nie stanowią najlepszego czynniku zabezpieczającego. Ponadto portal zauważa, że opublikowany wcześniej komunikat ParkMobile nie jest powiązany z innymi częściami witryny i nie ma go na liście ostatnich komunikatów prasowych firmy. Sama firma nie zachęciła też swoich użytkowników do zmiany aktualnego hasła wskutek ostatnich wydarzeń.

Sprzedawcy z rosyjskiego dark webu zebrane dane wystawili za cenę 125 tys. dolarów. 


Zdjęcie główne artykułu pochodzi z unsplash.com. Źródła: krebsonsecurity.com, parkmobile.io.

Zapraszamy do dyskusji

Patronujemy

 
 
More Stories
Stworzyła kryptowalutę i zniknęła. Ruja Ignatova wszystkich nabrała?