Porušenie databázy Aptoid vystavuje 20 miliónov používateľských účtov, možno ešte viac

Hacking na webe nie je ničím novým a je celkom isté, že každý má aspoň niekoľko prihlasovacích údajov a ďalšie podrobnosti, ktoré boli kedy odhalené. Bohužiaľ, došlo k ďalšiemu incidentu, tentoraz v obchode Apptoid. Boli odhalené minimálne osobné informácie a informácie o nulovej platbe, ale sú vystavené prihlasovacie informácie.

Aplikácia Aptoid nemusí byť pre väčšinu používateľov systému Android známa, ale so 150 000 používateľmi sa stala najväčším nezávislým obchodom s aplikáciami na svete. Je navrhnutý tak, aby vývojári mohli vytvárať svoje vlastné obchody s aplikáciami, ktoré fungujú ako súčasť väčšieho registra.

Hack bol prvýkrát odhalený 17. apríla Počas porušenia Twitter zodpovednosti. Údajne bolo skopírovaných 39 miliónov účtov, pričom 20 miliónov z nich uniklo na verejné fórum ako dôkaz. Záznamy zahŕňajú e-mailové adresy, SHA-1 hashované heslá, mená, narodeniny, stav účtu a IP a užívateľský agent z posledných prihlásení. Zahŕňa tiež prihlasovacie a vývojové tokeny, a ak účet patril superadministrátorovi.

Aptoide neskôr nadviazal na rôzne čísla, ktoré by mohli naznačovať až 49 miliónov používateľských účtov, ktoré by mali prístup. Asi 32 miliónov účtov však patrí k prihláseniam OAuth do služieb Google a Facebook účty, takže k týmto účtom nie sú priradené žiadne heslá. Heslá pre všetky zostávajúce účty, ktoré boli umývané pomocou SHA-1, ktorý sa už nepovažuje za bezpečný algoritmus hashovania.

Tieto čísla sú v skutočnosti dosť nízke, čo je spôsobené modelom otvoreného prístupu, ktorý používa spoločnosť Aptoide. Používatelia potrebujú účty, aby zanechali hodnotenia a komentáre, ale nemusia iba sťahovať alebo aktualizovať aplikácie. Aptoide tiež vysvetlil, že veľmi málo účtov bude mať pravdepodobne v zázname mená alebo narodeniny, a neexistujú žiadne informácie o platbách ani iné využiteľné informácie.

Pre väčšinu používateľov to znamená iba e-mailové adresy a heslo hashad. Používatelia by mali zmeniť heslá vo všetkých účtoch s rovnakou e-mailovou adresou a heslom. Nie je jasné, či hackeri môžu na niečo použiť kompromitované účty vývojárov.

Aptoide spolupracuje so svojím dátovým centrom s cieľom zistiť, ako k hackerstvu došlo, a dočasne zakázal všetky činnosti súvisiace s účtom vrátane registrácií, prihlásení a recenzií alebo komentárov. Nemalo by to zasahovať do sťahovania alebo aktualizácie aplikácií. Keď sa Aptoide znovu otvorí, používatelia zadajú nové heslo pri najbližšom prihlásení.