Η υπηρεσία Touchnote, μια online υπηρεσία που επιτρέπει στους χρήστες να στείλουν ψηφιακές φωτογραφίες ως φυσικές καρτ-ποστάλς, hackαρίστηκε.
Οι εγγεγραμμένοι χρήστες έλαβαν ένα ειδοποιητικό email την περασμένη εβδομάδα που τους ανέφερε το περιστατικό και πως τα ονόματα, τα email addresses και άλλα στοιχεία του ιστορικού προσπελάσθηκαν, καθώς επίσης και μια προειδοποίηση να αλλάξουν τους κωδικούς τους.
“Στις 4 Νοεμβρίου 2015 λάβαμε πληροφορίες που επιβεβαίωναν πως η υπηρεσία Touchnote έγινε θύμα μιας εγκληματικής ενέργειας, που έχει ως αποτέλεσμα την κλοπή μερικών από των εταιρικών της δεδομένων,” η ίδια η εταιρεία αναφέρει, συμπληρώνοντας πως θα δημοσιεύσει περισσότερες πληροφορίες για το περιστατικό αυτό μέσω του λογαριασμού της στο Twitter.
Το Touchnote δεν αποθήκευε τα πλήρη στοιχεία όσον αφορά τις χρεωστικές ή πιστωτικές κάρτες των πελατών του, τις ημερομηνίες λήξης ή τους κωδικούς ασφαλείας, (μόνο τα τελεταία τέσσερα ψηφία του αριθμού της κάρτας είναι εμφανή). Αλλά, παρόλο που οι ίδιες οι πληροφορίες σχετικά με τις κάρτες δεν βρίσκονται σε κίνδυνο, σε αυτή την περίπτωση, οι εγκληματίες θα μπορούσαν να τις χρησιμοποιήσουν για να ανοίξουν ψεύτικους λογαριασμούς, ή να τις πουλήσουν στην υπόγεια αγορά, με σκοπό να χρησιμοποιηθούν σε περισσότερο στοχευμένες και μεγαλύτερου εύρους spear phishing ή identity theft attacks.
Στη δήλωσή της η εταιρεία επίσης προσέθεσε “Kρυπτογραφούμε όλα τα passwords και ποτέ δεν τα αποθηκεύουμε σε plain format. Για παράδειγμα, εάν ο password σας ήταν ‘hello’ θα εμφανιζόταν στην βάση δεδομένων μας ως ένας τυχαίος συνδυασμός γραμμάτων και ψηφίων.”
Ο Mark Bower, director της HPE Security – Data Security αναφέρει πως τα δεδομένα που αποκτήθηκαν από τα mobile apps δεν διαφέρουν από οποιαδήποτε άλλα δεδομένα — και πως με τις διαθέσιμες τεχνολογίες που έχουμε σήμερα είναι εύκολο και γρήγορο να προστεύονται τα ευαίσθητα δεδομένα. H προστασία αυτή είναι ένας αποδεδειγμένος και αξιόπιστος τρόπος να προστατεύσουμε τόσο τον ίδιο τον πελάτη, όσο και την εμπιστοσύνη που μας δείχνει καθώς και την τελική ικανοποίησή του.
“Δεν υπάρχει καμία αποδεκτή δικαιολογία για να μην ακολουθήσει κάποιος τις καλύτερες πρακτικές κρυπτογράφησης των ευαίσθητων και των οικονομικών δεδομένων που εισάγονται σε ένα σύστημα, πόσο μάλλον σε ένα σύστημα που συνεχώς ανανεώνεται κι εμπλουτίζεται και δεν παραμένει στάσιμο” αναφέρει ενδεικτικά.
Mόνο οι προσωπικές πληροφορίες, και όχι τα passwords ή οι πληροφορίες καρτών, κλάπηκαν κατά την επίθεση, η οποία πρωτοανακαλύφθηκε την προήγουμενη εβδομάδα. Η δίωξη ηλεκτρονικού εγκλήματος της Βρετανίας διενεργά έρευνα για την υπόθεση αυτή.
