Quelqu’un vend des informations sur les comptes de 21 millions de clients de ParcMobile, une application mobile de stationnement populaire en Amérique du Nord. Les données volées comprennent les adresses e-mail des clients, les dates de naissance, les numéros de téléphone, les numéros de plaque d’immatriculation, les mots de passe hachés et les adresses postales.
BreachTrace a entendu parler pour la première fois de la violation de Conseil Gémeaux, une société de renseignements sur les menaces basée à New York qui surveille de près les forums sur la cybercriminalité. Gemini a partagé un nouveau fil de vente sur un forum criminel en russe qui incluait les informations de mon compte ParkMobile dans la capture d’écran des données volées.
Les données comprenaient mon adresse e-mail et mon numéro de téléphone, ainsi que les numéros de plaque d’immatriculation de quatre véhicules différents que nous avons utilisés au cours de la dernière décennie.
Interrogé sur le fil des ventes, ParkMobile, basé à Atlanta, a déclaré que la société a publié une notification le 26 mars à propos « d’un incident de cybersécurité lié à une vulnérabilité dans un logiciel tiers que nous utilisons ».
« En réponse, nous avons immédiatement lancé une enquête avec l’aide d’une entreprise de cybersécurité de premier plan pour traiter l’incident », indique l’avis. « Par prudence, nous avons également informé les autorités compétentes en matière d’application de la loi. L’enquête est en cours et nous sommes limités dans les détails que nous pouvons fournir pour le moment.
La déclaration continue : « Notre enquête indique qu’aucune donnée sensible ou information de carte de paiement, que nous chiffrons, n’a été affectée. Entre-temps, nous avons pris des mesures de précaution supplémentaires depuis que nous avons appris l’incident, notamment en éliminant la vulnérabilité des tiers, en maintenant notre sécurité et en continuant à surveiller nos systèmes.
Lorsqu’on lui a demandé des éclaircissements sur ce à quoi les attaquants avaient accès, ParkMobile a confirmé qu’il incluait des informations de base sur le compte – numéros de plaque d’immatriculation et, le cas échéant, adresses e-mail et/ou numéros de téléphone, et surnom du véhicule.
« Dans un petit pourcentage de cas, il peut y avoir des adresses postales », porte-parole Jeff Perkins mentionné.
ParkMobile ne stocke pas les mots de passe des utilisateurs, mais stocke plutôt la sortie d’un algorithme de hachage de mot de passe unidirectionnel assez robuste appelé bcrypt, qui est beaucoup plus gourmand en ressources et coûteux à casser que les alternatives courantes comme MD5. La base de données volée à ParkMobile et mise en vente comprend le hachage bcrypt de chaque utilisateur.
« Vous avez raison de dire que des mots de passe hachés et salés bcrypt ont été obtenus », a déclaré Perkins lorsqu’il a été interrogé sur la capture d’écran dans le fil de vente de la base de données.
« Notez que nous ne conservons pas les valeurs de sel dans notre système », a-t-il déclaré. « De plus, les données compromises n’incluent pas l’historique de stationnement, l’historique de localisation ou toute autre information sensible. Nous ne collectons pas les numéros de sécurité sociale ou les numéros de permis de conduire de nos utilisateurs. »
ParkMobile indique qu’il finalise une mise à jour de son site d’assistance confirmant la conclusion de son enquête. Mais je me demande combien de ses utilisateurs étaient au courant de cet incident de sécurité. le Avis de sécurité du 26 mars ne semble pas être lié à d’autres parties du site ParkMobile, et il est absent de la liste des communiqués de presse récents de l’entreprise.
Il est également curieux que ParkMobile n’ait pas demandé ou forcé ses utilisateurs à changer leurs mots de passe par mesure de précaution. J’ai utilisé l’application ParkMobile pour réinitialiser mon mot de passe, mais aucun message dans l’application ne suggérait que c’était une chose à faire en temps opportun.
Donc, si vous êtes un utilisateur ParkMobile, changer le mot de passe de votre compte peut être une décision professionnelle. Si cela peut vous consoler, celui qui vend ces données le fait pour un prix de départ incroyablement élevé (125 000 $) qui ne sera probablement pas payé par un cybercriminel à un nouvel utilisateur sans réputation sur le forum.
Plus important encore, si vous avez utilisé votre mot de passe ParkMobile sur un autre site lié à la même adresse e-mail, il est temps de modifier également ces informations d’identification (et d’arrêter de réutiliser les mots de passe).
La brèche survient à un moment délicat pour ParkMobile. Le 9 mars, le groupement européen du stationnement Easy Park a annoncé son intention d’acquérir la sociétéqui opère dans plus de 450 villes en Amérique du Nord.