Χάκερ κατάφερε να υποκλέψει 17 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου από μια εξαιρετικά εκτεταμένη υπηρεσία εύρεσης εστιατορίων. Σημειώστε, πως η Zomato δεν παρέχει τις υπηρεσίες της στην Ελλάδα. Ανεπηρέαστοι είναι επίσης όσοι χρησιμοποιούσαν το λογαριασμό τους στο Facebook ή στο Google για να κάνουν login στις υπηρεσίες της Zomato (OAuth), και έτσι η λίστα e-mail/(hashed/salted)password περιορίστηκε σημαντικά.

Εντούτοις, μια λίστα με 6,6 εκατομμύρια από αυτές τις διευθύνσεις, μαζί με κρυπτογραφημένα, αλλά όχι απόρθυτα password, τέθηκαν προς πώληση στο αχαρτογράφητο dark web. Η πώληση της λίστας θα έθετε σε κίνδυνο τους χρήστες, παρά το γεγονός ότι δεν περιελάμβανε αριθμούς πιστωτικών καρτών ή άλλα ευαίσθητα στοιχεία. Εντούτοις, η αξιοπιστία της εταιρείας πλήττεται σοβαρά και είναι κρίσιμο πριν αρχίσουν οι διαγραφές λογαριασμών, να ξανακερδίσει την εμπιστοσύνη των χρηστών της. Εξάλλου, η εταιρεία παραδέχτηκε ότι παρά το γεγονός ότι τα password ήταν κρυπτογραφημένα και "αλατισμένα", θα μπορούσαν να αποκρυπτογραφηθούν με αλλεπάλληλες δοκιμές της τεχνικής brute force.

Έτσι, η Zomato επιχείρησε καταρχήν να επικοινωνήσει με τον άνθρωπο που δημοσίευσε τη λίστα προς πώληση και προς έκπληξή της βρέθηκε αντιμέτωπη με έναν συνεργάσιμο χάκερ. Γρήγορα, υπέκυψε στον περίεργο εκβιασμό του.

«Συνεργαστείτε με την κοινότητα των χάκερ που διακρίνονται από το ήθος τους και καθιερώστε μια αμοιβή για τη δουλειά που κάνουν ώστε να παρέχετε με ασφάλεια τις υπηρεσίες σας. Καθιερώστε ένα bug bounty program», ζήτησε ο άγνωστος εισβολέας.

Πράγματι, η Zomato δεσμεύτηκε ότι στο εξής θα προσφέρει αμοιβή σε χάκερ που επιθεωρούν για κενά που ενδεχομένως υπάρχουν στο λογισμικό της , αναρτώντας το σχετικό bug bounty program στο Hackerone, το σύνθημα του οποίου είναι "Hack, Learn, Earn". 

Αμέσως, η λίστα των 6,6 εκατομμυρίων δολαρίων εξαφανίστηκε από το dark web και ο χάκερ δεσμεύτηκε να καταστρέψει τυχόν αντίγραφα.

0 σχόλια:

Δημοσίευση σχολίου

top