Z amerykańskiej platformy parkingowej skradziono dane 21 milionów użytkowników
Jak donosi KrebsOnSecurity, z amerykańskiej platformy parkingowej ParkMobile skradziono dane 21 milionów użytkowników. Chociaż firma umniejszała znaczenie tego zdarzenia, to incydentu nie udało się ukryć. Światło dzienne ujrzały nie tylko e-maile, numery telefonów, czy numery tablic rejestracyjnych, ale także zaszyfrowane hasła Amerykanów.
ParkMobile to platforma oferująca bezpłatną aplikację, która umożliwia użytkownikom wyszukanie wolnych miejsc parkingowych w całych Stanach Zjednoczonych i płacenie za nie bezpośrednio przez aplikację. Ze szczególnym upodobaniem korzystają z niej obywatele Atlanty i Waszyngtonu. W Polsce odpowiednikiem takiej usługi jest mobiParking, z której możemy korzystać m.in. za pośrednictwem aplikacji SkyCash.
Spis treści
Wyciek danych zamieciony pod dywan
26 marca bieżącego roku firma wydała komunikat o incydencie związanym z cyberbezpieczeństwem platformy. Według podanych przez nich informacji problem powiązany był z luką w oprogramowaniu zewnętrznej firmy, z której korzysta. Natychmiast wszczęto dochodzenie z pomocą firmy specjalizującej się w cyberbezpieczeństwie oraz zawiadomiono odpowiednie służby.
ParkMobile podzieliło się również informacją, że według wewnętrznej analizy żadne wrażliwe dane, czy informacje o kartach płatniczych użytkowników nie trafiły w niepowołane ręce. Ponadto firma zapewniła, że podjęła dodatkowe kroki zapobiegawcze oraz wyeliminowała istniejącą lukę w zabezpieczeniach.
Dane użytkowników na rosyjskich forach
Jak jednak donosi KrebsOnSecurity, rzeczywistość prezentuje się inaczej. Z pomocą Gemini Advisory, firmy zajmującej się badaniem zagrożeń ukrytych w podziemiu cyberprzestępczym, odkryli, że na jednym z rosyjskojęzycznych forów można znaleźć skradzione z ParkMobile dane. A wśród nich adresy e-mail, numery telefonów i numery rejestracyjne pojazdów przypisane użytkownikom.
KrebsOnSecurity wskazuje, że platforma nie przechowuje haseł użytkowników, jednak na swoich serwerach gromadzi dane wyjściowe jednokierunkowego algorytmu haszowania haseł o nazwie bcrypt. Te dane również można było znaleźć wśród skradzionych z bazy ParkMobile, a co więcej – zostały również wystawione na sprzedaż na wspomnianym wcześniej forum.
– Faktycznie, uzyskano zaszyfrowane hasła bcrypt – tłumaczy Jeff Perkins, rzecznik ParkMobile. – Jednak zagrożone wypłynięciem informacje nie obejmują historii parkowania, historii lokalizacji ani żadnych innych poufnych danych. Nie zbieramy numerów PESEL ani numerów prawa jazdy od naszych użytkowników – kończy.
125 tys. dolarów za poufne dane
KrebsOnSecurity mimo to stawia spory znak zapytania nad słowami rzecznika. Co prawda hasze bcrypt są trudniejsze do złamania niż typowe alternatywy jak MD5, to nie stanowią najlepszego czynniku zabezpieczającego. Ponadto portal zauważa, że opublikowany wcześniej komunikat ParkMobile nie jest powiązany z innymi częściami witryny i nie ma go na liście ostatnich komunikatów prasowych firmy. Sama firma nie zachęciła też swoich użytkowników do zmiany aktualnego hasła wskutek ostatnich wydarzeń.
Sprzedawcy z rosyjskiego dark webu zebrane dane wystawili za cenę 125 tys. dolarów.
Zdjęcie główne artykułu pochodzi z unsplash.com. Źródła: krebsonsecurity.com, parkmobile.io.
Podobne artykuły
Lista najciekawszych projektów technologicznych. Nad czym pracują naukowcy?
Aitana — influencerka, którą pokochali nawet celebryci. Zarabia spore pieniądze i... nie istnieje
Sam Altman, współtwórca OpenAI zwolniony z posady dyrektora generalnego. Po kilku dniach go przywrócili [AKTUALIZACJA]
Ponad 1/3 polskich firm korzysta już ze wsparcia AI. Poznajcie wyniki raportu "AI i rynek pracy w Polsce"
25. urodziny Google. Jak zmieniał się przez lata?
W którym Big Techu zarabia się najwięcej? Blind publikuje dane
Scott Farquhar jest miliarderem i CEO dużej firmy tech. Do biura przychodzi raz na trzy miesiące
