21M ParkMobile客户的数据,包括电子邮件和车牌号码,即出售; ParkMobile披露了3月26日的网络安全事件

2021-04-13 09:14:05

有人正在销售2100万客户ParkMobile的账户信息,这是一个在北美流行的移动停车应用程序。被盗数据包括客户电子邮件地址,出生日期,电话号码,车牌编号,哈希密码和邮寄地址。

Kresonsecurity首次听说来自Gemini咨询的突破,这是一家以纽约市为基础的威胁情报公司,在网络犯罪论坛上保持密切关注。 Gemini在俄语犯罪论坛上分享了一个新的销售线程,其中包括我的ParkMobile帐户信息在被盗数据的屏幕截图中。

在数据中包含我的电子邮件地址和电话号码,以及我们在过去十年中使用的四辆不同车辆的车牌号码。

基于Atlanta的ParkMobile询问了销售线程表示,该公司于36日发布了一份通知,关于“一个网络安全事件与我们使用的第三方软件中的漏洞相关联。”

“作为回应,我们立即在领先的网络安全公司的协助下启动了调查,以解决事件,”通知读。 “出于丰富的谨慎,我们还通知了相应的执法机构。调查正在进行中,我们在此时提供的详细信息有限。“

该声明继续说:“我们的调查表明,没有受到加密的敏感数据或支付卡信息,受到影响。同时,我们已经采取了额外的预防性步骤,以便在学习事件时,包括消除第三方脆弱性,维护我们的安全性,并继续监控我们的系统。“

要求澄清攻击者所做的内容,ParkMobile确认它包括基本帐户信息 - 许可证板号,如果提供,电子邮件地址和/或电话号码以及车辆昵称。

“在少量案例中,可能有邮寄地址,”杰夫帕金斯发言人说。

ParkMobile不存储用户密码,而是存储一个名为Bcrypt的相当强大的单向密码散列算法的输出,这比常见的替代品如MD5,更具资源密集型和昂贵的。数据库从ParkMobile偷走并待售销售包括每个用户的Bcrypt哈希。

“您对Bcrypt散列和盐渍密码进行了正确,”Perkins在被问及数据库销售线程中的屏幕截图时表示。

“注意,我们不会在我们的系统中保留盐值,”他说。 “另外,受损数据不包括停车历史,位置历史或任何其他敏感信息。我们不会从用户收集社会安全号码或驾驶执照号码。“

ParkMobile表示,它正在完成对其支持网站的更新,确认其调查的结论。但我想知道其有多少用户甚至意识到这种安全事件。 3月26日的安全通知似乎与ParkMobile网站的其他部分没有联系,并且缺席了公司最近的新闻稿名单。

它也很好奇,帕克莫里没有要求或强迫用户将密码改为预防措施。我使用ParkMobile应用程序重置密码,但应用程序中没有消息传递,建议这是一个及时的事情。

因此,如果您是ParkMobile用户,请更改您的帐户密码可能是Pro Move。如果它是任何安慰,销售此数据的人都是为了一个疯狂的高的起价(125,000美元),这不太可能被任何网络犯罪分子向新用户支付,并在论坛上没有任何声誉。

更重要的是,如果您在与同一电子邮件地址的任何其他网站上使用ParkMobile密码,则是时候更改这些凭据(并停止重新使用密码)了。

违规行为令人棘手的时间来帕克菲尔。 3月9日,欧洲停车场集团EasyPark宣布其计划获得该公司,该公司在北美超过450个城市开展业务。

我不使用任何这些应用程序。我也没有在网上银行或检查我的投资。然而,我仍然没有受到保护......我的牙医的数据库被黑了。我失去了我可以做的事情,因为一旦你的信息在那里,我们依靠守护者来保护它。甚至信贷局都没有在这个问题上做得很好。我从来没有给他们信息的权利!

所有时间使用Park Mobile,从未收到任何通知〜3月26日。现在会改变PW。谢谢,Brian!

如果它们不在密码数据库中存储盐,则密码实际盐渍吗?他们在不同的数据库中存放盐吗?他们是否使用一个盐,并且在应用程序配置信息中进行了硬编码或提供?

谢谢你的故事,Brian。在此之前,我没有收到来自ParkMobile或当地城市的任何通知,我使用此应用程序。我想知道Parkmobile是否通知与公司合同的城市政府使用该应用程序?

不幸的是,在俄罗斯论坛传播之前,需要花费时间才能获得一些卢比,这确实是羞耻,看到客户机密信息在网络骗局手中滚动.Call到行动

伟大的,2年前我必须使用一次的另一个应用程序,因为这是在该特定度假胜地的停车处支付停车的唯一途径。不得不重新安装DARN的东西来检查所提供的信息。

您无法删除默认Apple支付付款方式。您无法从应用程序中删除所有车辆。您至少可以更改关联的电子邮件地址和电话号码,但有点有用,这有点迟到了。

很有趣的是,在更改密码后,ParkMobile能够在时刻发给我一封电子邮件,但无法发出通知,让我知道违反......。

总是很好,负责人在销售用户数据时让我们知道。公司肯定是因为地狱没有打扰告诉我们! 🙁

创建一个国家法律,以惩罚遭到违反的实体。也许为每个帐户为1美元或2美元,这是一个违反账户持有人的直接通知 - 找到违约的2天内 - 或者是时候出发了?最重要的是,每个帐户的五美元罚款被违约所支付给账户持有人。我们现在能够做到这一点,Parkmobile的罚款是2100万美元,加上他们的账户持有人1.05亿美元。我赌注公司将开始更好地保护其用户账户。

我厌倦了这些违规行为。很明显,所涉及的实体不在乎。如果他们这样做,他们就会更好地保护他们的用户数据。

但是我有一个想法:国家法律怎么说:如果公司有*在美国的任何*设施以及他们的网络存在违反,而客户数据被盗,那么一个简单的惩罚:每一个美元罚款违约的账户,其中5美元将支付给账户持有人。此外,本公司将需要在2天内让客户了解,如果他们失败,那么罚款应该是**严重**。