Η Open Exchange Rates ανακοίνωσε παραβίαση δεδομένων που εξέθεσε τις προσωπικές πληροφορίες και τα salted και hashed passwords των πελατών της API υπηρεσίας της.
Η Open Exchange Rates παρέχει ένα API που επιτρέπει σε οργανισμούς να διερευνήσουν συναλλαγματικές ισοτιμίες για περισσότερα από 200 παγκόσμια νομίσματα. Το site της υπηρεσίας δηλώνει ότι το API της χρησιμοποιείται από γνωστές εταιρείες όπως οι Etsy, Shopify, Coinbase, Kickstarter και άλλες.
Στα emails που έστειλε η Open Exchange Rates για να ειδοποιήσει για την παραβίαση δεδομένων, εξηγεί ότι το περιστατικό ανακαλύφθηκε τυχαία. Η υπηρεσία έκανε μια έρευνα για ένα πρόβλημα στο δίκτυο, που προκαλούσε καθυστερήσεις. Τότε, ανακάλυψε ότι ένας μη εξουσιοδοτημένος χρήστης είχε αποκτήσει πρόσβαση στο δίκτυό της και σε μια βάση δεδομένων που περιελάμβανε πληροφορίες χρηστών.
Μετά από περαιτέρω έρευνες, ανακαλύφθηκε ότι ο hacker είχε πρόσβαση στα συστήματα της υπηρεσίας για σχεδόν ένα μήνα (μεταξύ 9 Φεβρουαρίου 2020 και 2 Μαρτίου 2020). Η Open Exchange Rates δήλωσε ότι τα δεδομένα που περιέχονταν στη βάση δεδομένων ενδέχεται να έχουν κλαπεί.
Οι πληροφορίες χρηστών που έχουν εκτεθεί, περιλαμβάνουν:
- Όνομα και διεύθυνση email
- Κρυπτογραφημένο / hashed κωδικό πρόσβαση που χρησιμοποιείται για την απόκτηση πρόσβασης στο λογαριασμό που συνδέεται με την πλατφόρμα
- Διευθύνσεις IP από τις οποίες οι χρήστες συνδέονται στην πλατφόρμα
- App IDs (συμβολοσειρές 32 χαρακτήρων που χρησιμοποιούνται για την υποβολή αιτημάτων στην υπηρεσία), που σχετίζονται με το λογαριασμό των χρηστών
- Όνομα και διεύθυνση επιχείρησης
- Χώρα διαμονής
- Διεύθυνση site
Λόγω αυτής της παραβίασης, η Open Exchange Rates έχει απενεργοποιήσει τους κωδικούς πρόσβασης για όλους τους λογαριασμούς που δημιουργήθηκαν πριν από τις 2 Μαρτίου 2020. Οι χρήστες θα πρέπει να χρησιμοποιήσουν αυτόν τον σύνδεσμο για να ορίσουν έναν νέο κωδικό πρόσβασης.
Εάν οι χρήστες έχουν χρησιμοποιήσει τον παραβιασμένο κωδικό πρόσβασης και σε άλλους λογαριασμούς ή sites, πρέπει να τον αλλάξουν και εκεί.
Επιπλέον, ενδέχεται να έχουν εκτεθεί τα κλειδιά API για την υπηρεσία. Γι’ αυτό το λόγο, η Open Exchange Rates συνιστά σε όλους τους χρήστες να δημιουργήσουν νέα API IDs για να έχουν πρόσβαση στην υπηρεσία.
“Δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι χρησιμοποιήθηκαν τα κλειδιά για την απόκτηση πρόσβασης στην υπηρεσία API, ωστόσο θα μπορούσαν να χρησιμοποιηθούν για την αναζήτηση πληροφοριών σχετικά με τις συναλλαγματικές ισοτιμίες χρησιμοποιώντας το λογαριασμό σας”.
Επειδή αυτό το API χρησιμοποιείται από γνωστούς οργανισμούς, η Open Exchange Rates προειδοποιεί ότι τα κλεμμένα δεδομένα θα μπορούσαν να χρησιμοποιηθούν σε στοχευμένες spear-phishing εκστρατείες. Γι’ αυτό οι εταιρείες θα πρέπει να είναι πολύ προσεκτικές.
Επίσης, οι χρήστες πρέπει να ενεργοποιήσουν έλεγχο ταυτότητας δύο παραγόντων σε όλα τα sites που έχουν λογαριασμό, για να έχουν μεγαλύτερη προστασία.
