Хакер украл персональные данные более 23 млн подписчиков развлекательного приложения Mangatoon из Китая. По заявлению злоумышленника, персональные данные были украдены из незащищенного облачного хранилища.
Mangatoon – популярное приложение на платформах iOS и Android, которое миллионы подписчиков используют для чтения популярных онлайн-комиксов Manga. В первой декаде июля сервис Have I Been Pwned? (HIBP), который служит для проверки скомпрометированных учетных данных, добавил на свою платформу 23 млн логинов и паролей пользователей Mangatoon.
«В мае у Mangatoon было взломано 23 млн учетных записей. В результате инцидента были скомпрометированы имена, адреса электронной почты, пол, идентификаторы профилей в соцсетях, токены аутентификации социальных медиа и хэши MD5 паролей с солью», - отмечается в сообщении HIBP на платформе Twitter.
HIBP решил добавить утекшие учетные записи на свою платформу после того, как основатель сервиса Трой Хант (Troy Hunt) безуспешно пытался связаться с компанией Mangatoon по поводу инцидента. Журналисты BleepingComputer также отправили несколько электронных писем в адрес Mangatoon, но не получили никакой обратной связи.
Теперь пользователи Mangatoon могут ввести свои электронные адреса в строку поиска HIBP и проверить, не являются ли их учетные данные частью утечки информации из приложения.
Журналисты выяснили, что за утечкой учетных данных из Mangatoon стоял хакер, действующий под псевдонимом «pompompurin». Хакер заявил, что скачал базу данных приложения с облачного сервера Elasticsearch, на котором был установлен примитивный пароль «password». По словам pompompurin, после того, как он отправил письмо в компанию Mangatoon, там изменили пароль, но ее представители ни разу не ответили ему и не уведомили клиентов об утечке информации.