データ侵害が発見された後、Zelloユーザーはパスワードのリセットを強制される

Zelloは、世界中に1億人以上のユーザーがいるプッシュツートークアプリケーションです。その作成者は、警察官、消防士、および救急隊員が緊急時にインスタントコミュニケーションに使用できるバージョンも開発しました。幸い、このバージョンは、Zelloが被った最近のデータ侵害の影響を受けませんでした。

Zelloは7月上旬にデータ侵害の被害を受けました

7月8日、Zello はサーバーの1つで「異常なアクティビティ」が発生していることに気付きました 。それは侵入者を追い出し、法執行機関に通知し、調査を手伝うために独立した会社を呼んだ。

すでに述べたように、彼らはZello for First Respondersが違反の影響を受けておらず、Zello Work（Push-to-Talkアプリの有料版）も影響を受けていないことを理解しました。無料のZelloアプリのユーザーだけがヒットし、データ侵害の通知は、心配する必要のないものに見せかけようとします。

どうやら、ハッカーはすべてのZelloユーザーの電子メールアドレスとハッシュ化されたパスワードを含むデータベースになんとかアクセスしました。同社は、ほとんどの人が自分のメールアドレスをユーザー名やパスワードとして使用していないため、アカウント乗っ取りのリスクが低いと指摘しています。それでも、十分な注意を払って、すべてのユーザーは次回アプリにログインするときにパスワードをリセットする必要があります。また、ユーザーが再利用した可能性のある他のWebサイトでパスワードを変更することも求められます。

Zelloはあまりにも多くの詳細を共有するつもりはありません

詳細は明らかに通知が不足していると言わざるを得ない。ハッカーがどのようにして侵入したのか、そして同様のインシデントが今後発生しないようにするために会社が何をしたのかについての情報はありません。 Zelloはまだ全体像を把握していないかもしれませんが、1か月近くの調査の結果、何が起こったのか、なぜ起こったのかを比較的明確に把握できているはずです。

Zelloが知っていることの1つは、パスワードを保護するために使用されたハッシュアルゴリズムです。ハッシュはログインデータを安全に保存するための最良の方法であることは十分に理解していますが、一部のハッシュアルゴリズムは他のアルゴリズムよりも堅牢であることもわかっています。ハッカーがハッシュをクラックしてプレーンテキストのパスワードを抽出できる場合、ユーザーははるかに不安定な状況に陥ります。

Zelloは、ユーザーにパスワードの変更を依頼することで、リスクの軽減を支援していると言う人もいます。ただし、現実的には、1回のデータ侵害通知では、1億人がパスワード管理の慣行を完全に確認することはできません。特に、この通知に、侵害された資格情報が「判読不能」であると記載されている場合はそうではありません。会社がユーザーが直面するリスクについてより透明性がある場合、停止してオンラインアカウントのセキュリティについて考える人の数ははるかに多くなる可能性があります。もちろん、Zelloがユーザーのパスワードを安全にハッシュした可能性を否定するべきではありませんが、不確実性と特定の情報の欠如は、すべてが正常であることをセキュリティ意識の高いユーザーに保証するものではありません。