ParkMobile Breach expone datos de matrículas, números móviles de 21 millones de usuarios – Krebs on Safety


Alguien está vendiendo información de cuenta para 21 millones de clientes de ParkMobile, una aplicación de estacionamiento para dispositivos móviles que es well-known en América del Norte. Los datos robados incluyen direcciones de correo electrónico de clientes, fechas de nacimiento, números de teléfono, números de matrículas, contraseñas con hash y direcciones de correo.

KrebsOnSecurity escuchó por primera vez sobre la violación de Aviso de Géminis, una firma de inteligencia de amenazas con sede en la ciudad de Nueva York que vigila de cerca los foros de delitos cibernéticos. Gemini compartió un nuevo hilo de ventas en un foro de delitos en ruso que incluía la información de mi cuenta de ParkMobile en la captura de pantalla adjunta de los datos robados.

En los datos se incluyeron mi dirección de correo electrónico y número de teléfono, así como los números de matrícula de cuatro vehículos diferentes que hemos utilizado durante la última década.

Cuando se le preguntó sobre el hilo de ventas, ParkMobile, con sede en Atlanta, dijo que la compañía publicó una notificación el 26 de marzo sobre «un incidente de ciberseguridad vinculado a una vulnerabilidad en un software de terceros que utilizamos».

“En respuesta, iniciamos inmediatamente una investigación con la ayuda de una firma líder en ciberseguridad para abordar el incidente”, dice el aviso. “Por precaución, también hemos notificado a las autoridades policiales correspondientes. La investigación está en curso y estamos limitados en los detalles que podemos proporcionar en este momento «.

La declaración continúa: “Nuestra investigación indica que no se afectó ningún dato practical o información de tarjeta de pago, que encriptamos. Mientras tanto, hemos tomado medidas de precaución adicionales desde que nos enteramos del incidente, incluida la eliminación de la vulnerabilidad de terceros, el mantenimiento de nuestra seguridad y la continuación de la supervisión de nuestros sistemas «.

Cuando se le pidió una aclaración sobre a qué accedieron los atacantes, ParkMobile confirmó que incluía información básica de la cuenta: números de matrícula y, si se proporciona, direcciones de correo electrónico y / o números de teléfono, y apodo del vehículo.

«En un pequeño porcentaje de casos, puede haber direcciones de correo», dijo el portavoz. Jeff Perkins dicho.

ParkMobile no almacena las contraseñas de los usuarios, sino que almacena el resultado de un algoritmo de hash de contraseña unidireccional bastante sólido llamado bcrypt, que requiere muchos más recursos y es más costoso de descifrar que las alternativas comunes como MD5. La foundation de datos robada de ParkMobile y puesta a la venta incluye el hash bcrypt de cada usuario.

«Tiene razón en que se obtuvieron contraseñas con hash y saladas de bcrypt», dijo Perkins cuando se le preguntó sobre la captura de pantalla en el hilo de ventas de la foundation de datos.

«Tenga en cuenta que no mantenemos los valores de sal en nuestro sistema», dijo. “Además, los datos comprometidos no incluyen el historial de estacionamiento, el historial de ubicaciones ni ninguna otra información confidencial. No recopilamos números de seguro social ni números de licencia de conducir de nuestros usuarios «.

ParkMobile dice que está finalizando una actualización de su sitio de soporte que confirma la conclusión de su investigación. Pero me pregunto cuántos de sus usuarios estaban al tanto de este incidente de seguridad. La 26 de marzo aviso de seguridad no parece estar vinculado a otras partes del sitio de ParkMobile y no aparece en la lista de comunicados de prensa recientes de la empresa.

También es curioso que ParkMobile no haya pedido ni obligado a sus usuarios a cambiar sus contraseñas como medida de precaución. Usé la aplicación ParkMobile para restablecer mi contraseña, pero no había mensajes en la aplicación que sugirieran que esto era algo oportuno.

Por lo tanto, si es un usuario de ParkMobile, cambiar la contraseña de su cuenta podría ser un paso profesional. Si le sirve de consuelo, quienquiera que esté vendiendo estos datos lo está haciendo por un precio inicial increíblemente alto ($ 125,000) que es poco possible que un ciberdelincuente pague a un nuevo usuario sin reputación en el foro.

Más importante aún, si usó su contraseña de ParkMobile en cualquier otro sitio vinculado a la misma dirección de correo electrónico, es hora de cambiar esas credenciales también (y dejar de reutilizar las contraseñas).

La infracción llega en un momento complicado para ParkMobile. El 9 de marzo, el grupo de aparcamiento europeo EasyPark anunció sus planes para adquirir la empresa, que opera en más de 450 ciudades de América del Norte.



Enlace a la noticia primary