Zomato: violati i dati di oltre 6 milioni di utenti
Il servizio di food delivery ha rivelato di essere stata attaccata da un hacker che ha sottratto le credenziali di oltre 6 milioni di utenti: l'intenzione era rivendere le informazioni, ma la società è riuscita a trovare un accordo
di Andrea Bai pubblicata il 19 Maggio 2017, alle 17:41 nel canale SicurezzaZomato, servizio di guida ristoranti e consegna a domicilio di generi alimentari, è stata vittima di un attacco hacker che ha compromesso le informazioni personali di 6,6 milioni di utenti. La società, basata in India, opera in oltre 20 paesi del mondo tra cui ache l'Italia.
La società ha comunicato che un hacker ha saccheggiato le informazioni relative a 17 milioni di utenti e comprendenti indirizzi email e password in hash, ma non le informazioni delle carte di credito. L'hacker ha sottratto le informazioni con l'intenzione di rivenderle , ma la società è riuscita a trovare un accordo: le informazioni non saranno rivendute a terzi a condizione che Zomato avviasse un programma di caccia al bug con ricompensa.
A seguito dell'incidente Zomato ha resettato le password di tutti gli utenti coinvolti e ha effettuato un logout forzato dall'app e dal sito web. La società indica comunque che il 60% dei sui 17 milioni di utenti fa uso dei servizi OAuth di terze parti (Google, Facebook e Twitter) e quindi non sono interessati dal problema, motivo per il quale il conto delle vittime effettive ammonta a circa 6,6 milioni di account. La società ha affermato che le password non possono essere facilmente riconvertite in testo semplice, ma l'hacker ha fornito un campione dei dati trafugati ad esperti di sicurezza che non hanno avuto problemi a risalire alle password originali dal formato in hash.
Ora come ora non vi sarebbe alcun pericolo immediato dal momento che l'hacker ha acconsentito a non rivendere le informazioni in suo possesso ma la vicenda è un campanello d'allarme per gli utenti di Zomato che, secondo anche quanto rilevato dai ricercatori di sicurezza, avrebbe adottato misure di sicurezza non particolarmente efficaci.
L'hacker comunque ha comunicato a Zomato i dettagli esatti di quanto fatto, e la vulnerabilità sfruttata è già stata risolta, come spiegato qui.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDove hai letto che sono in MD5?
cmq io appena becco un sito che memorizza la mia password in chiaro, cambio tutte le info nel mio profilo e nuovamente la password (tipo 1234) e mi cancello. Non affiderei mai i miei dati a siti web che mantengono in chiaro le mie informazioni.
È spiegato in uno degli articoli linkati nella notizia, dove è anche spiegato come basta usare un popolare sito che permette di risalire alle password in chiaro dagli hash.
Se in seguito alla registrazione al sito mi arriva la conferma nell'email con la mia password in chiaro, o peggio, quando faccio un recupero password e mi inviano la mia password in chiaro, allora prendo e mi cancello per una questione di principio.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".