Aptoide reconhece problemas de segurança

A Aptoide, a plataforma alternativa à “app store” da Google para aplicações Android, reconheceu que a segurança no seu site estava desactualizada.

A confirmação surgiu numa troca de mensagens nos comentários à notícia de que mais de 20 milhões de dados pessoais da Aptoide teriam sido divulgados num fórum de hacking.

Segundo a revista ZDNet, o autor do ataque terá 39 milhões de registos de utilizadores da “app store” criada por portugueses, obtidos num ataque ocorrido no início deste mês. Os 20 milhões agora divulgados têm dados de utilizadores do site entre 21 de Julho de 2016 e 28 de Janeiro de 2018.

O site Have I Been Pwned indica que o ataque ocorreu a 13 de Abril e foram mais de 20,012 milhões as contas atacadas, tendo o(s) atacante(s) acedido a dados do browser, endereços de email, endereços de IP, nomes e passwords.

Em comunicado, a Aptoide assegura estar a trabalhar com os seus parceiros do centro de dados numa “análise forense” para obter detalhes do ataque, tendo interrompido alguns serviços.

A empresa revela também que 32 milhões dos seus 49 milhões de utilizadores ligam-se à plataforma através das contas da Google ou do Facebook, não tendo sido envolvidas no ataque. Pelo contrário, os 8,8M de utilizadores que se registaram por email constavam de uma base de dados encriptada usando a função SHA-1 (de Secure Hash Algorithm 1).

Foi esta tecnologia que gerou a crítica do utilizador “Egbert”, apontando que ela já não devia estar a ser usada há bastante tempo. A empresa respondeu que, após confirmar o ataque, “notificámos imediatamente os nossos utilizadores. Ainda assim, o nosso sistema não era suficientemente seguro e existe uma ‘task force’ a trabalhar em melhorar a segurança”.

[act.: A empresa emitiu um novo comunicado, “Aptoide New Authentication System: No User Data Storage“, onde refere que “Aptoide will no longer require a username and password for those who wish to log in or sign up. This means that users won’t have to create and remember passwords, or have them stored in the database. Instead, each time a user wants to log in or sign up, they will be asked to insert their email address, after which they will immediately receive an email with a six-digit login code. To finalize the login or sign-up process, users will need to go back to the Aptoide app and introduce the six-digit login code.“]

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.