Zomato: violati i dati di oltre 6 milioni di utenti

Zomato: violati i dati di oltre 6 milioni di utenti

Il servizio di food delivery ha rivelato di essere stata attaccata da un hacker che ha sottratto le credenziali di oltre 6 milioni di utenti: l'intenzione era rivendere le informazioni, ma la società è riuscita a trovare un accordo

di pubblicata il , alle 17:41 nel canale Sicurezza
 

Zomato, servizio di guida ristoranti e consegna a domicilio di generi alimentari, è stata vittima di un attacco hacker che ha compromesso le informazioni personali di 6,6 milioni di utenti. La società, basata in India, opera in oltre 20 paesi del mondo tra cui ache l'Italia.

La società ha comunicato che un hacker ha saccheggiato le informazioni relative a 17 milioni di utenti e comprendenti indirizzi email e password in hash, ma non le informazioni delle carte di credito. L'hacker ha sottratto le informazioni con l'intenzione di rivenderle , ma la società è riuscita a trovare un accordo: le informazioni non saranno rivendute a terzi a condizione che Zomato avviasse un programma di caccia al bug con ricompensa.

A seguito dell'incidente Zomato ha resettato le password di tutti gli utenti coinvolti e ha effettuato un logout forzato dall'app e dal sito web. La società indica comunque che il 60% dei sui 17 milioni di utenti fa uso dei servizi OAuth di terze parti (Google, Facebook e Twitter) e quindi non sono interessati dal problema, motivo per il quale il conto delle vittime effettive ammonta a circa 6,6 milioni di account. La società ha affermato che le password non possono essere facilmente riconvertite in testo semplice, ma l'hacker ha fornito un campione dei dati trafugati ad esperti di sicurezza che non hanno avuto problemi a risalire alle password originali dal formato in hash.

Ora come ora non vi sarebbe alcun pericolo immediato dal momento che l'hacker ha acconsentito a non rivendere le informazioni in suo possesso ma la vicenda è un campanello d'allarme per gli utenti di Zomato che, secondo anche quanto rilevato dai ricercatori di sicurezza, avrebbe adottato misure di sicurezza non particolarmente efficaci.

L'hacker comunque ha comunicato a Zomato i dettagli esatti di quanto fatto, e la vulnerabilità sfruttata è già stata risolta, come spiegato qui.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Thehacker6619 Maggio 2017, 22:48 #1
Anche questi salvano le password cifrate in md5... Dovrebbero multare società che usano ancora questi metodi di protezione così insicuri (per non parlare di quelle che le salvano in chiaro).
Zenida23 Maggio 2017, 18:27 #2
Originariamente inviato da: Thehacker66
Anche questi salvano le password cifrate in md5... Dovrebbero multare società che usano ancora questi metodi di protezione così insicuri (per non parlare di quelle che le salvano in chiaro).


Dove hai letto che sono in MD5?

cmq io appena becco un sito che memorizza la mia password in chiaro, cambio tutte le info nel mio profilo e nuovamente la password (tipo 1234) e mi cancello. Non affiderei mai i miei dati a siti web che mantengono in chiaro le mie informazioni.
Thehacker6623 Maggio 2017, 18:38 #3
Originariamente inviato da: Zenida
Dove hai letto che sono in MD5?

È spiegato in uno degli articoli linkati nella notizia, dove è anche spiegato come basta usare un popolare sito che permette di risalire alle password in chiaro dagli hash.
Originariamente inviato da: Zenida
cmq io appena becco un sito che memorizza la mia password in chiaro, cambio tutte le info nel mio profilo e nuovamente la password (tipo 1234) e mi cancello. Non affiderei mai i miei dati a siti web che mantengono in chiaro le mie informazioni.
Il problema è che non puoi sapere che metodi usa un sito per salvare le tue credenziali.
Zenida29 Maggio 2017, 19:41 #4
Originariamente inviato da: Thehacker66
È spiegato in uno degli articoli linkati nella notizia, dove è anche spiegato come basta usare un popolare sito che permette di risalire alle password in chiaro dagli hash.Il problema è che non puoi sapere che metodi usa un sito per salvare le tue credenziali.


Se in seguito alla registrazione al sito mi arriva la conferma nell'email con la mia password in chiaro, o peggio, quando faccio un recupero password e mi inviano la mia password in chiaro, allora prendo e mi cancello per una questione di principio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^