Sommario
Più di sette milioni di persone potrebbero aver avuto le loro informazioni sensibili rubate a seguito di una violazione dei dati avvenuta sui server di Freecycle. L’organizzazione ha pubblicato un avviso sul suo sito web, descrivendo quanto accaduto e sollecitando i suoi utenti a cambiare immediatamente le loro credenziali di accesso.
Freecycle: un punto di incontro per lo scambio di oggetti usati
Freecycle è un’organizzazione senza scopo di lucro che mette in contatto persone che desiderano scambiare oggetti usati, invece di gettarli via. Attualmente, conta quasi 11 milioni di membri distribuiti in oltre 5000 città in tutto il mondo.
Dettagli della violazione
Il 30 agosto, Freecycle ha scoperto una violazione dei dati sul suo sito web. “Di conseguenza, stiamo consigliando a tutti i membri di cambiare le loro password il prima possibile”, ha scritto l’organizzazione nel suo comunicato. “Ci scusiamo per l’inconveniente e chiediamo di tenere d’occhio questo spazio per ulteriori aggiornamenti in arrivo”.
Sembra che l’attacco sia avvenuto mesi prima, addirittura prima di giugno, quando il database di Freecycle era già in vendita sul dark web. I dati compromessi includono nomi utente, ID utente, indirizzi email e password criptate con hash MD5.
Analizzando gli screenshot postati dagli aggressori, BleepingComputer ha concluso che era il fondatore e direttore esecutivo di Freecycle, Deron Beal, ad aver avuto le sue credenziali rubate, concedendo così agli aggressori un accesso illimitato.
Risposta dell’azienda e misure preventive
Dopo aver scoperto la violazione, l’organizzazione ha contattato la polizia e ha aggiunto che gli utenti dovrebbero stare attenti a possibili attacchi di phishing e altre truffe in arrivo. “Sebbene la maggior parte dei fornitori di servizi email faccia un buon lavoro nel filtrare lo spam, potreste notare che ricevete più spam del solito”, recita l’avviso. “Come sempre, rimanete vigili riguardo alle email di phishing, evitate di cliccare sui link nelle email e non scaricate allegati a meno che non li stiate aspettando”.
Oltre al phishing, questo tipo di informazioni può anche essere utilizzato per furti d’identità e frodi telematiche.
