ParkMobile Breach公开牌照数据，21M用户的手机号码

有人正在销售2100万客户ParkMobile的账户信息，这是一个在北美流行的移动停车应用程序。被盗数据包括客户电子邮件地址，出生日期，电话号码，车牌编号，哈希密码和邮寄地址。

Kresonsecurity首次听说来自Gemini咨询的突破，这是一家以纽约市为基础的威胁情报公司，在网络犯罪论坛上保持密切关注。 Gemini在俄语犯罪论坛上分享了一个新的销售线程，其中包括我的ParkMobile帐户信息在被盗数据的屏幕截图中。

在数据中包含我的电子邮件地址和电话号码，以及我们在过去十年中使用的四辆不同车辆的车牌号码。

基于Atlanta的ParkMobile询问了销售线程表示，该公司于36日发布了一份通知，关于“一个网络安全事件与我们使用的第三方软件中的漏洞相关联。”

“作为回应，我们立即在领先的网络安全公司的协助下启动了调查，以解决事件，”通知读。 “出于丰富的谨慎，我们还通知了相应的执法机构。调查正在进行中，我们在此时提供的详细信息有限。“

该声明继续说：“我们的调查表明，没有受到加密的敏感数据或支付卡信息，受到影响。同时，我们已经采取了额外的预防性步骤，以便在学习事件时，包括消除第三方脆弱性，维护我们的安全性，并继续监控我们的系统。“

要求澄清攻击者所做的内容，ParkMobile确认它包括基本帐户信息 - 许可证板号，如果提供，电子邮件地址和/或电话号码以及车辆昵称。

“在少量案例中，可能有邮寄地址，”杰夫帕金斯发言人说。

ParkMobile不存储用户密码，而是存储一个名为Bcrypt的相当强大的单向密码散列算法的输出，这比常见的替代品如MD5，更具资源密集型和昂贵的。数据库从ParkMobile偷走并待售销售包括每个用户的Bcrypt哈希。

“您对Bcrypt散列和盐渍密码进行了正确，”Perkins在被问及数据库销售线程中的屏幕截图时表示。

“注意，我们不会在我们的系统中保留盐值，”他说。 “另外，受损数据不包括停车历史，位置历史或任何其他敏感信息。我们不会从用户收集社会安全号码或驾驶执照号码。“

ParkMobile表示，它正在完成对其支持网站的更新，确认其调查的结论。但我想知道其有多少用户甚至意识到这种安全事件。 3月26日的安全通知似乎与ParkMobile网站的其他部分没有联系，并且缺席了公司最近的新闻稿名单。

它也很好奇，帕克莫里没有要求或强迫用户将密码改为预防措施。我使用ParkMobile应用程序重置密码，但应用程序中没有消息传递，建议这是一个及时的事情。

因此，如果您是ParkMobile用户，请更改您的帐户密码可能是Pro Move。如果它是任何安慰，销售此数据的人都是为了一个疯狂的高的起价（125,000美元），这不太可能被任何网络犯罪分子向新用户支付，并在论坛上没有任何声誉。

更重要的是，如果您在与同一电子邮件地址的任何其他网站上使用ParkMobile密码，则是时候更改这些凭据（并停止重新使用密码）了。

违规行为令人棘手的时间来帕克菲尔。 3月9日，欧洲停车场集团EasyPark宣布其计划获得该公司，该公司在北美超过450个城市开展业务。

我不使用任何这些应用程序。我也没有在网上银行或检查我的投资。然而，我仍然没有受到保护......我的牙医的数据库被黑了。我失去了我可以做的事情，因为一旦你的信息在那里，我们依靠守护者来保护它。甚至信贷局都没有在这个问题上做得很好。我从来没有给他们信息的权利！

所有时间使用Park Mobile，从未收到任何通知〜3月26日。现在会改变PW。谢谢，Brian！

如果它们不在密码数据库中存储盐，则密码实际盐渍吗？他们在不同的数据库中存放盐吗？他们是否使用一个盐，并且在应用程序配置信息中进行了硬编码或提供？

谢谢你的故事，Brian。在此之前，我没有收到来自ParkMobile或当地城市的任何通知，我使用此应用程序。我想知道Parkmobile是否通知与公司合同的城市政府使用该应用程序？

不幸的是，在俄罗斯论坛传播之前，需要花费时间才能获得一些卢比，这确实是羞耻，看到客户机密信息在网络骗局手中滚动.Call到行动

伟大的，2年前我必须使用一次的另一个应用程序，因为这是在该特定度假胜地的停车处支付停车的唯一途径。不得不重新安装DARN的东西来检查所提供的信息。

您无法删除默认Apple支付付款方式。您无法从应用程序中删除所有车辆。您至少可以更改关联的电子邮件地址和电话号码，但有点有用，这有点迟到了。

很有趣的是，在更改密码后，ParkMobile能够在时刻发给我一封电子邮件，但无法发出通知，让我知道违反......。

总是很好，负责人在销售用户数据时让我们知道。公司肯定是因为地狱没有打扰告诉我们！ 🙁

创建一个国家法律，以惩罚遭到违反的实体。也许为每个帐户为1美元或2美元，这是一个违反账户持有人的直接通知 - 找到违约的2天内 - 或者是时候出发了？最重要的是，每个帐户的五美元罚款被违约所支付给账户持有人。我们现在能够做到这一点，Parkmobile的罚款是2100万美元，加上他们的账户持有人1.05亿美元。我赌注公司将开始更好地保护其用户账户。

我厌倦了这些违规行为。很明显，所涉及的实体不在乎。如果他们这样做，他们就会更好地保护他们的用户数据。

但是我有一个想法：国家法律怎么说：如果公司有*在美国的任何*设施以及他们的网络存在违反，而客户数据被盗，那么一个简单的惩罚：每一个美元罚款违约的账户，其中5美元将支付给账户持有人。此外，本公司将需要在2天内让客户了解，如果他们失败，那么罚款应该是**严重**。