MooneyGo – l’app per pagare parcheggi, trasporti, pedaggi, ecc. – sta inviando e-mail a tutti gli utenti per avvisarli dell’attacco informatico subito e di cambiare password entro il 30 settembre 2025, dopo il quale saranno tutte resettate in automatico:
>[…] tra la fine di marzo e l’inizio di aprile 2025 i nostri sistemi hanno subito un sofisticato attacco informatico. Abbiamo immediatamente sporto formale denuncia e attivato tutte le procedure di sicurezza, collaborando con le Autorità competenti, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN), il Garante per la protezione dei dati personali.
>Dalle analisi condotte, è emerso che gli autori dell’attacco potrebbero aver avuto accesso a dati personali associati al Suo profilo utente MooneyGo, tra cui:
> • Nome, cognome, indirizzo email e numero di telefono;
> • Eventuale Codice Fiscale o Partita IVA, se da Lei forniti;
> • La versione crittografata (tecnicamente definita «hash») della Sua password.
>Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento.
>[…] anche le password, dunque, sebbene in versione crittografata, sono state coinvolte nell’incidente. Questo significa che gli autori dell’attacco potrebbero tentare di decifrarle. La possibilità che ciò avvenga dipende dalla volontà dell’autore dell’attacco, dalla complessità della password scelta, dalle risorse tecniche a disposizione e dal tipo di attacco che l’autore dell’attacco potrebbe intraprendere. Per consentirLe ogni approfondimento tecnico, Le segnaliamo che l’algoritmo di protezione utilizzato è BCRYPT: Salt fisso da 128 bit «opaco», Cost Factor: 11 (2048 iterazioni), codifica Base64.
Mi è stato un po’ sul cazzo che ci abbiano messo 4 mesi a comunicarlo agli utenti.
Sempre con la solita menata delle carte di credito salve oh. Ma rubatemele pure le carte, le blocco in un millisecondo e per importi sopra i pochi euro non le potete usare proprio. Il furto dei dati anagrafici è più grave perché può portare a attacchi di social engineering. Vedo inoltre che non conoscono il principio di minimizzazione: perché non dare la possibilità di pagare i parcheggi con Google/Apple pay senza alcun account? Inserisci il posto dove parcheggiare e paghi. Il servizio viene offerto e MooneyGo non riceve alcun dato anagrafico.
Fateme indovina pure stavolta due spicci di multa e nessun risarcimento alla gente?
4 comments
MooneyGo – l’app per pagare parcheggi, trasporti, pedaggi, ecc. – sta inviando e-mail a tutti gli utenti per avvisarli dell’attacco informatico subito e di cambiare password entro il 30 settembre 2025, dopo il quale saranno tutte resettate in automatico:
>[…] tra la fine di marzo e l’inizio di aprile 2025 i nostri sistemi hanno subito un sofisticato attacco informatico. Abbiamo immediatamente sporto formale denuncia e attivato tutte le procedure di sicurezza, collaborando con le Autorità competenti, inclusa l’Agenzia per la Cybersicurezza Nazionale (ACN), il Garante per la protezione dei dati personali.
>Dalle analisi condotte, è emerso che gli autori dell’attacco potrebbero aver avuto accesso a dati personali associati al Suo profilo utente MooneyGo, tra cui:
> • Nome, cognome, indirizzo email e numero di telefono;
> • Eventuale Codice Fiscale o Partita IVA, se da Lei forniti;
> • La versione crittografata (tecnicamente definita «hash») della Sua password.
>Non sono stati coinvolti i dati relativi a carte di credito o altri strumenti di pagamento.
>[…] anche le password, dunque, sebbene in versione crittografata, sono state coinvolte nell’incidente. Questo significa che gli autori dell’attacco potrebbero tentare di decifrarle. La possibilità che ciò avvenga dipende dalla volontà dell’autore dell’attacco, dalla complessità della password scelta, dalle risorse tecniche a disposizione e dal tipo di attacco che l’autore dell’attacco potrebbe intraprendere. Per consentirLe ogni approfondimento tecnico, Le segnaliamo che l’algoritmo di protezione utilizzato è BCRYPT: Salt fisso da 128 bit «opaco», Cost Factor: 11 (2048 iterazioni), codifica Base64.
Mi è stato un po’ sul cazzo che ci abbiano messo 4 mesi a comunicarlo agli utenti.
Sempre con la solita menata delle carte di credito salve oh. Ma rubatemele pure le carte, le blocco in un millisecondo e per importi sopra i pochi euro non le potete usare proprio. Il furto dei dati anagrafici è più grave perché può portare a attacchi di social engineering. Vedo inoltre che non conoscono il principio di minimizzazione: perché non dare la possibilità di pagare i parcheggi con Google/Apple pay senza alcun account? Inserisci il posto dove parcheggiare e paghi. Il servizio viene offerto e MooneyGo non riceve alcun dato anagrafico.
Fateme indovina pure stavolta due spicci di multa e nessun risarcimento alla gente?
Comments are closed.