Il più grande negozio di alimentari online di Singapore Lazada Redmart ha subito una violazione dei dati e 1,1 milioni di account utente sono stati messi in vendita su un forum di hacker.
Il dump del database contenente dati cliente sensibili ha un prezzo di 1.500 dollari.
Lazada è una controllata miliardaria di Alibaba con oltre 8.000 dipendenti in tutto il mondo.
DB con 1,1 milioni di account al prezzo di $ 1.500
Gli hacker che vendono i dump di dati illeciti hanno detto di aver ottenuto il set di dati basato su MongoDB di Lazada con i dati di oltre 1,1 milioni di account RedMart.
Il dump trapelato contiene gli indirizzi e-mail degli account dei clienti RedMart, le password con hash SHA-1, il nome e il cognome, i numeri di telefono, gli indirizzi postali, gli indirizzi di fatturazione, i numeri di carta di credito parziali e le date di scadenza.
Secondo gli hacker, tuttavia, il set di dati non è standardizzato e “alcune righe contengono più informazioni di altre”.
Ad esempio, alcuni clienti avevano le prime 6 e le ultime 4 cifre del numero di carta di credito incluse nei dati.
Lazada scopre una violazione durante il “monitoraggio proattivo”
Il 29 ottobre, Lazada ha inviato una notifica e-mail ai clienti interessati affermando di aver scoperto la violazione durante il “monitoraggio proattivo” dei loro sistemi.
Nella notifica di violazione dei dati di Lazada, la società afferma che i dati esposti nella violazione hanno 18 mesi.
“I dati dei clienti ospitati su questo database sono obsoleti di oltre 18 mesi poiché sono stati aggiornati l’ultima volta a marzo 2019”, ha affermato Lazada.
Tuttavia, il broker di violazione dei dati ha dichiarato che il database rubato contiene record utente con date di registrazione a maggio e luglio 2020, come mostrato di seguito.
L’e-mail di violazione dei dati ha ulteriormente rassicurato i clienti sul fatto che le loro password sono “protette dalla crittografia”.
Sebbene le password nel database rubato siano effettivamente con hash SHA-1, è possibile rimuoverle per recuperare la password originale.
Come precauzione di sicurezza, RedMart ha reimpostato le password su tutti gli account e ti chiederà di cambiarle al prossimo accesso.
Si consiglia inoltre di modificare la password su altri siti che utilizzano la stessa utilizzata su RedMart.
Gli utenti di RedMart dovrebbero anche stare attenti a e-mail di phishing mirate che utilizzano le informazioni nel database rubato.
“Lazada non richiede ai clienti di verificare le tue informazioni personali”, afferma la notifica sulla violazione.
La data esatta della violazione rimane sconosciuta.
Secondo RedMart, dopo aver scoperto la violazione, la società ha provveduto a bloccare tempestivamente l’accesso al database.
“Abbiamo intrapreso un’azione immediata per bloccare l’accesso non autorizzato al database. Questi dati sono stati utilizzati sulla precedente app e sito web RedMart, che non sono più in uso. I dati dei clienti Lazada nel sud-est asiatico non sono interessati da questo incidente”, si legge nell’email notifica.
La società ha anche dichiarato che stavano rivedendo e rafforzando i controlli di sicurezza oltre a collaborare con le autorità di contrasto su questo incidente.
“Vogliamo essere trasparenti su questo incidente con tutti i nostri clienti e rassicurarvi che lo stiamo prendendo sul serio”, ha concluso la notifica.
Ma ciò che spicca è la discrepanza tra la loro affermazione che i dati trapelati risalgono a 18 mesi fa e lo screenshot del database sopra che mostra le date di registrazione di luglio 2020.