Aptoide sotto attacco: hacker pubblica dati sensibili di oltre 20 milioni di utenti

19 Aprile 2020 240

Nomi, cognomi, email e password di oltre 20 milioni di utenti registrati ad Aptoide, store di terze parti per applicazioni Android, sono stati pubblicati da un hacker su un noto forum di hacking. Questi dati, secondo quanto riportato da ZDNet, sarebbero stati ottenuti in seguito ad un attacco avvenuto ad inizio mese e farebbero parte di un gruppo ancora più ampio di dati appartenenti a circa 39 milioni di utenti.

I dati, classificabili come "informazioni personali identificabili", apparterrebbero ad utenti che si sono registrati o hanno utilizzato Aptoide tra il 21 luglio 2016 e il 28 gennaio 2018. Tra i record ci sono anche la data di iscrizione, indirizzo IP di registrazione, dettagli del dispositivo e data di nascita (qualora siano stati forniti).

Pubblicate anche altre informazioni tecniche come lo stato dell'account, i token di iscrizione, i token per sviluppatori e l'origine del referral. Al momento, tutti i dati, contenuti in un file PostgreSQL, sono ancora disponibili per il download.


Aptoide è al corrente della situazione ed ha momentaneamente sospeso le registrazioni:

Siamo venuti a conoscenza del fatto che il database Aptoide potrebbe essere stato vittima di un attacco di hacking e di una possibile violazione del database. Il nostro team sta valutando la minaccia e, se confermato, adotterà misure per correggerla.

Secondo informazioni ufficiali, ricordiamo, Aptoide ha sede in Portogallo ed ha raggiunto oltre 150 milioni di utenti in tutto il mondo. Nell'ottobre del 2018, Aptoide ha accusato Google di aver utilizzato il suo sistema di sicurezza Play Protect per segnalare la sua applicazione come "pericolosa" disinstallndola dai dispositivi degli utenti a loro insaputa. La società avrebbe perso in tal modo oltre 2,2 milioni di utenti in 60 giorni.

Il medio gamma Huawei per eccellenza? Huawei P Smart Z, in offerta oggi da Mobzilla a 145 euro oppure da Supermedia a 189 euro.

240

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
uncletoma

e allora? citato appositamente proprio perché noto

uncletoma

puoi violare anche un sito tramite "crack", ovviamente è una cosa parecchio diversa dal levare la protezione a un programma

Mario I/O

Sempre usato con mailinator ehehe

Emanuele Gagliardo

A me ieri è arrivato l'avviso di google che qualcuno stava cercando di accedere al mio account dalla Malesia.
Ero registrato ad Aptoide, ottimo hahaah.

ErCipolla

Se intendi (come effettivamente spesso si usa, ed è corretto) che con "cracking" si va a indicare il reverse engineering, ovvero quello che fanno i gruppi pirata che "craccano" (appunto) applicativi e giochi, "rompendo" la protezione anticopia, è in generale un uso corretto.

Ma non è quello di cui parliamo qui mi pare. Qui non abbiamo binari decrittati o DRM anticopia violati, quello che è avvenuto è che in qualche modo (sfruttando una vulnerabilità del sistema o magari anche solo tramite phishing) il tizio ha aggirato (appunto) i sistemi di autenticazione del Database di Aptoide e rubato i dati. Questo lo chiamerei "hacking" a tutti gli effetti, anche usando la tua definizione.

Mattia Righetti

Non a caso citi DDoS che è uno degli attacchi meno comuni ma più conosciuti da qualsiasi utente medio

salvatore esposito

attacchi simili sono stati registrati in passato anche da Apple e google facendo danni ben maggiori.
non illudiamoci che quelli siano più sicuri

uncletoma

ma a quel punto andrebbe specificato.
e, comunque, qui pare non abbia aggirato la protezione (hack), ma l'abbia rotta (crack).

Tiwi

e c'era chi diceva di usarlo con i huawei..se certo

Andrea Z.

esatto, infatti non vanno scaricagli gli exe dai siti non ufficiali, con un certificato digitale in regola. Apkmirror o altri siti NON sono siti ufficiali degli sviluppatori di tali app, e al massimo possono verificare la loro identità come io verifico la mia, fidarsi di loro è come fidarsi di uno per strada che ti si approccia come banchiere e ti chiede i soldi. Ma credo sia ingestibile un sito per ogni sviluppatore di apk e scaricarseli a mano da lì ad ogni aggionamento. Dunque ci vuole uno store attendibile con dei controlli e una azienda con partita iva con cui prendersela in caso di problemi.

Federico

SHA1 è certamente debole, ma almeno in linea di principio irreversibile.
Qui un utente diceva di aver visto un file con la sua password in chiaro.

ErCipolla

Ok, in tal caso eviterei di scaricare apk da quel sito, chiaramente

ErCipolla

Appunto, che siano leakate le password in chiaro è scritto solo qui, per quello dico che secondo me è un errore quanto scritto qui.

In quanto agli hash: erano sha1 a quanto pare.

Riccardo sacchetti

Non so sinceramente. Ma é comunque una fonte più che affidabile. Se poi uno é paranoico, o ha esigenze particolari per lavoro magari, si appoggerà a qualcosa che conosce. Altrimenti, se vuoi sicurezza quasi totale, sviluppi l'app in proprio.

Riccardo sacchetti

Si, non é per tutti ecco..

matteventu

Appunto sotto ho consigliato APKMirror e F-Droid :)

Sono profondamente diversi come approccio, rispetto ai vari Aptoide, APKPure e simili.

Federico

Gli hash sono irreversibili, se sono state pubblicate password in chiaro e queste password corrispondono a quelle immesse dagli utenti non possono essere gli hash

matteventu

No, APKMirror - a parte che non ti ci puoi registrare quindi anche in caso di "leak" verrebbero fuori cose interne loro, dato che non hanno dati di utenti - dal punto di vista della sicurezza é al top :)
Ci sta il team di Android Police dietro, il che é una garanzia (non che sia imbucabile, ma che sia fatto meglio del restante 99.99999999999% dei siti presenti nel world wide web).

ErCipolla

Beh, ci sono da fare dei distinguo però, ad esempio APKMirror verifica la firma degli APK per verificarne l'autenticità, e anche altri come F-Droid hanno i loro controlli. Non facciamo di tutta l'erba un fascio (premesso che questo APKPure non lo conosco, quindi sospendo il giudizio)

ErCipolla

A quanto pare il leak non contiene le password in chiaro, bensì gli hash, sarebbe da aggiornare l'articolo perché è una distinzione importante.

Detto ciò, sono sempre stati loschissimi, e oltretutto avevano anche la faccia tosta di lamentarsi con google per il fatto che impedisce a store di terze parti l'installazione diretta... un bel coraggio considerando che ad un certo punto erano il distributore per eccellenza di APK craccati...

matteventu

No, non é la stessa azienda, ma poco cambia, sono store dove caricano apk da fonti sconosciute.

ErCipolla

Certi siti verificano la firma digitale degli APK che distribuiscono, ad esempio APKMirror verifica che tutti gli APK abbiano la firma digitale originale corrispondente a quella del Play Store.

Ovviamente se scarichi a caso in giro è un terno al lotto

Sara Vignali

e chi verifica nel file .exe che scarichi da qualunque sito online su windows? basta buon senso e utilizzare siti attendibili.

ErCipolla

Hai ragione, ma è errata: a quanto pare le password non sono state leakate, solo gli hash delle stesse.

ErCipolla

Tutte le fonti in inglese che trovo in giro dicono che nel leak ci sono gli hash, non le pw in chiaro

ErCipolla

Ma a quanto pare è sbagliata, tutte le altre fonti dicono che non sono state leakate le password, bensì gli hash delle stesse.

Andrea Z.

e chi verifica cosa c'è nell'apk che scarichi chissà da dove?

Andrea Z.

sappiamo qualcosa del loro livello di sicurezza? ti ricordo che negli anni sono stati bucati anche i repository di alcune distro linux

Andrea Z.

anche su apkmirror io qualche dubbio me lo porrei, a livello di sicurezza. È più facile bucare apkmirror e metterci quel che ti pare, che bucare i vari store

Andrea Z.

è come le pubblicità dei deodoranti per ascelle, ci sono esperti nei laboratori, non importa se esistono o meno

Andrea Z.

le ricerche sono state compiute usando la formula "oste com'è il vino?" e si è verificato con precisione scientifica che l'oste rispondesse "buonissimo"

ErCipolla

Ma perché, è la stessa azienda che fa Aptoide? Non ti seguo...

Andrea Z.

"non uso il playstore perche guggole rubba i dati, uso solo aptoide e rom custom!"

ErCipolla

Discutibile, in realtà sta distinzione è un po' una roba italiana, non so nata da dove, ma in inglese "hacker / hacking" ha sia l'accezione positiva (white hat) che negativa (black hat), quindi si può tranquillamente usare il termine hacker anche per casi come questi.

TLC 2.0
matteventu

Per Android XD

TLC 2.0

Apple Store :)

matteventu
matteventu

Bravissimo, me lo ero scordato!
Non uno store "convenzionale", ma sicuramente valido per chi cerca software open source.

andrea

mai avuto fastweb, nè in casa e nè col cellulare....
diciamo che ho notato che mi fa più richieste quando vede cose "strane" (tipo mi collego dall'ufficio che una volta risulta parigi, una volta milano ecc...)

uncletoma

ca va sans dire che si, anche se la metà degli utenti avrebbe sorriso

Squak9000
LordRed

Su quello siamo d'accordo

LordRed

Personalmente se dovessi scaricare al di fuori del playstore mi cercherei lo store più affidabile piuttosto che carcare manualmente ogni apk solo per una questione di praticità

boh
zzzz

suvvia dai, puoi usarlo al reddebbulle soapbox race e arrivare tra i primi

zzzz

pensavo fosse una xculat4, tutto vero!

andrea

pensa....a me talvolta lo chiede anche senza cambiare nulla :-)
onestamente neanche io ho capito il criterio....boh?

Gio Artificiale

ahahah maddai Toma! tu reputi che un giornalista avrebbe dovuto scrivere:
"Aptoide sotto attacco: CRACKER pubblica dati sensibili di oltre 20 milioni di utenti"

AHAHAHAHAHAHAHAH Muoio!
Un po' di buon senso suvvia

a'ndre 'ci

questo sito NON è settoriale, è "mass-oriented" e clickbait oriented

Ricarica rapida e super rapida: i migliori smartphone 2020 a confronto

Recensione Motorola Edge: quando l'autonomia fa la differenza

Recensione Huawei MatePad Pro: senza GApps ma con tanto carattere

Samsung Galaxy S20 Snapdragon vs Exynos: tutta la (nostra) verità