Damien Wilde / Android AuthorityTL;DR Adresy e-mail członków społeczności Nothing z 2022 roku zostały znalezione w zrzucie bazy danych w Internecie. W pliku nie wykryto żadnych haseł ani innych poufnych informacji. Od czasu pierwotnego wycieku nic nie poprawiło jego zabezpieczeń.
Aktualizacja z 22 kwietnia 2024 r. (17:30 ET): W odpowiedzi na odkrycie przez nas tej bazy danych adresów e-mail należących do członków społeczności Nothing z 2022 roku firma Nothing wydała następujące oświadczenie:
W grudniu 2022 roku Nothing odkryło lukę, która miała wpływ na adresy e-mail należące wówczas do członków społeczności. Żadne nazwiska, adresy osobiste, hasła ani informacje dotyczące płatności nie zostały naruszone. Po tym odkryciu prawie półtora roku temu firma Nothing podjęła natychmiastowe działania, aby zaradzić tej sytuacji i wzmocnić swoje zabezpieczenia.
Nie jesteśmy pewni, dlaczego baza danych pochodząca z naruszenia w 2022 r. ponownie się pojawiła. Niezależnie od tego, oryginalny, niezmieniony artykuł jest kontynuowany po przerwie.
Oryginalny artykuł, 22 kwietnia 2024 r. (06:45 ET): Nic nie opiera się na fali dobrego odbioru ze strony konsumentów, dzięki wpływowym produktom, takim jak Nothing Phone 2a, który przypadł nam do gustu za wniesienie czegoś nowego na rynek budżetowych smartfonów. Ale firmie towarzyszyły również kontrowersje, takie jak porażka Nothing Chats, która była koszmarem dotyczącym prywatności. Wygląda na to, że nic nie doznało ostatnio rzekomego naruszenia bezpieczeństwa danych, ponieważ mogliśmy zlokalizować wiele informacji wokół profili społeczności Nothing pływających w Internecie. W witrynie umożliwiającej wymianę plików tekstowych znaleźliśmy plik zawierający zrzut danych kilku profili społeczności Nothing. Dane znajdujące się w tym zrzucie obejmują informacje już publiczne, takie jak nazwy użytkowników, nazwy wyświetlane, daty dołączenia, liczba komentarzy, informacje o ostatnio oglądanych, uprawnienia profilu forum i inne.
Aamir Siddiqui / Android Authority Jednak zrzut zawiera również informacje, które niekoniecznie są publiczne, takie jak adresy e-mail powiązane z profilem na forum. Mogliśmy również wykryć pola zawieszenia profilu (używane przez moderatorów zarządzających forami internetowymi), ale nie mogliśmy od razu zlokalizować niczego poza wartościami „zerowymi”. Dla jasności, nie znaleźliśmy żadnych haseł w zrzucie danych. Jednak adresy e-mail znajdujące się w zrzucie nie wydają się być łatwo widoczne w profilach społeczności Nothing, co ujawnia adresy e-mail tysięcy członków społeczności Nothing w jednym pliku. Na podstawie ostatnio widzianych informacji wydaje się, że dane pochodzą z 2022. Ponadto na podstawie informacji o adresach e-mail szacujemy, że w tym zrzucie danych znajdują się informacje o pierwszych ~2250 profilach społeczności Nothing, w tym kilka e-maili @nothing.tech dla menedżerów społeczności. Z oczywistych powodów nie możemy udostępnić zrzutu danych. Jeśli wolno nam spekulować, może to wynikać z ujawnienia interfejsu API. Jednak w chwili pisania tego tekstu interfejs API wydaje się niedostępny. Alternatywnie może to być również plik eksportu z oprogramowania do zarządzania forum Nothing Community. Chociaż tak jest nie nie widzieliśmy żadnych dowodów na to, że hasła zostały naruszone, zalecamy członkom społeczności Nothing Community zmianę hasła jedynie ze względów ostrożności. Skontaktowaliśmy się z Nothing w celu uzyskania oświadczenia w sprawie tego rzekomego naruszenia bezpieczeństwa danych oraz aby dowiedzieć się więcej o środkach zaradczych podjętych przez firmę, aby zapobiec ponowne wystąpienie. Zaktualizujemy ten artykuł, jeśli i kiedy firma odpowie.
Masz wskazówkę? Mów do nas! Wyślij e-mail do naszych pracowników na adres [email protected]. Możesz zachować anonimowość lub uzyskać uznanie za informacje, to Twój wybór.Komentarze