Aptoide atacada e expõe 20 milhões de contas de utilizador

Chaves de encriptação obsoletas e outras desgraças

O hack foi a 17 de abril através desta Conta do Twitter. Segundo as informações, 39 milhões de contas foram copiadas, e 20 milhões foram reveladas num fórum público como prova. Os registos incluem endereços de email, senhas com hash SHA-1, nomes, aniversários, status da conta e o IP dos últimos logins. Também estão incluídos os tokens de login.

A Aptoide confirmou a situação, apesar de apresentar números diferentes, o que pode indicar que no total 49 milhões de contas de utilizador possam ter sido comprometidas. No entanto, cerca de 32 milhões de contas pertencem a logons do OAuth com recurso a contas do Google e do Facebook, portanto, não há nenhuma password associada a essas contas. As restantes senhas foram vistas com hash SHA-1, que não é considerado um algoritmo de hash seguro.

Foi mau mas podia ter sido pior

Estes números são relativamente baixos tendo em conta o número total de utilizadores da Aptoide, isto é devido ao modelo de acesso aberto usado pelo Aptoide. Os utilizadores precisam de contas para deixar classificações e comentários, mas não precisam sequer de se registar para fazer o download ou atualizar aplicações. A Aptoide também explicou que poucas contas têm nomes ou aniversários registados e não há informações de pagamento ou outros dados de elevado risco.

Para a maioria dos utilizadores, isso significa que apenas os seus endereços de email e uma password com hash foram expostos. Os utilizadores devem alterar as senhas em qualquer conta em que usem o mesmo endereço de e-mail que usavam na conta da Aptoide.

A Aptoide está a trabalhar para identificar como ocorreu o hack e desativou temporariamente todas as atividades baseadas em contas, onde se incluem inscrições, logins e comentários.

Isso não deve interferir no download ou na atualização de aplicações.