A Freecycle alertou seus usuários que informações confidenciais de sobre 7 milhões deles podem ter sido comprometidos em uma recente violação de dados. A organização suspeita que mais de sete milhões de usuários podem ter sido afetados. Eles instaram seus usuários a alterar suas credenciais de login imediatamente para evitar qualquer acesso não autorizado às suas contas..
Detecção de violação de dados
Ciclo livre, uma organização sem fins lucrativos que promove a sustentabilidade através do envolvimento da comunidade, descobriu recentemente uma grave violação de dados. A equipe de segurança da organização detectou o violação em 30 de agosto, 2023, várias semanas depois de um cibercriminoso já ter colocado os dados roubados à venda em um fórum de hackers em 30 de maio. Assim, o aviso do hacker enfatizou a urgência da situação, instando os indivíduos afetados a alterar suas senhas imediatamente.
Depois de analisar as capturas de tela postadas pelos invasores, especialistas concluíram que os invasores roubaram as credenciais do fundador e diretor executivo da Freecycle, Deron Beal. Como resultado, os atacantes ganharam access to sensitive information.
Depois de detectar a violação de dados, a organização informou a polícia. A empresa também aconselhou os usuários a tenha cuidado com ataques de phishing e golpes que podem atingi-los. O aviso afirma que, apesar da maioria dos provedores de e-mail filtrarem spam com eficiência, os usuários podem receber uma quantidade maior de e-mails de spam.
Consequências do vazamento de dados
O compromisso das credenciais de Deron Beal, o fundador e diretor executivo da Freecycle, é um dos melhores sobre aspectos desta violação de dados. Esta violação de segurança permitiu que o ator da ameaça obtivesse acesso total para informações de membros e postagens no fórum, o que pode levar a mais manipulação de dados ou ações não autorizadas.
Os dados que foram roubados incluem uma variedade de informações importantes do usuário, como:
- IDs de usuário. Cada usuário recebeu uma identidade numérica para fins de identificação.
- Nomes de usuário. A plataforma usa identificadores exclusivos que os membros podem usar para se identificarem.
- Endereço de e-mail. As informações de contato usadas para comunicação e notificações.
- Senhas com hash MD5. Senhas criptografadas usando o algoritmo de hash MD5. (Que agora é considerado relativamente fraco e vulnerável a ataques.)
Felizmente, nenhuma informação pessoal adicional foi exposta além deste conjunto de dados. No entanto, comprometendo senhas com hash MD5 é preocupante, pois senhas fracas podem ser descriptografadas.
Resposta de ciclo livre
A Freecycle garantiu aos usuários que nenhum dado pessoal além do conjunto de dados especificado foi comprometido. Além disso, a violação foi contida, e a organização coopera com autoridades de privacidade.
Minimização de violações de dados
As dicas a seguir pode ajudar a reduzir o risco de uma violação de dados em sua organização:
- Mantendo seu sistema atualizado é fundamental para garantir que as vulnerabilidades sejam corrigidas, e os cibercriminosos não podem explorá-los.
- É altamente recomendado para criptografar seus dados pois pode impedir que fraudadores tirem vantagem disso.
- Regularmente faça backup dos seus dados, pois permite uma recuperação rápida e eficiente em caso de qualquer dano.
- O modelo de confiança zero evita os cibercriminosos se infiltrem e se movam lateralmente, não confiando em nenhuma entidade dentro ou fora do perímetro da rede.
- Para fortalecer a segurança cibernética, todos os usuários devem usar autenticação multifatorial ou biométrica.
Usuários que reutilizam senhas em vários serviços online deve alterá-los imediatamente para evitar violações de segurança.
