Un data dump contenente informazioni personali di oltre 2.250 utenti della Nothing Community è stato scoperto online. La fuga di dati include indirizzi email e dati del forum, sollevando preoccupazioni sulla gestione della privacy da parte di Nothing.
Nothing ha recentemente guadagnato popolarità con il lancio dello smartphone Nothing Phone (2a) e degli auricolari Nothing Ear. Tuttavia, non tutte le notizie che circondano l’azienda sono positive. Recentemente, Nothing ha fatto notizia per una presunta violazione dei dati che ha visto circolare informazioni dettagliate sui profili degli utenti della Nothing Community online.
Secondo le informazioni condivise da Android Authority, è stato scoperto un file su un sito web di condivisione di file di testo che contiene un data dump di vari profili della Nothing Community. Le informazioni presenti in questo file includono dati pubblici come nomi utente, nomi visualizzati, date di iscrizione, e il numero di commenti. Questi dati sono accompagnati da informazioni sull’ultimo accesso e dai permessi del profilo del forum.
Il problema maggiore è rappresentato dal fatto che il data dump include anche dati non pubblici, come indirizzi e-mail collegati ai profili del forum. Nonostante la mancanza di password, la presenza di indirizzi e-mail che non sono normalmente visibili ai membri pubblici espone migliaia di utenti a potenziali rischi di privacy. Dai dettagli emersi, sembra che i dati compromessi risalgano al 2022 e includano informazioni di circa 2.250 profili della Nothing Community. Inoltre l’elenco comprende anche diversi account email terminanti con @nothing.tech, utilizzati dai community manager.
Nonostante l’assenza di evidenze che le password siano state esposte, la natura della violazione suggerisce che potrebbe essere stata causata da un’API esposta o da un’errata gestione del file di esportazione dal software del forum della Nothing Community. Al momento, sembra che l’API incriminata non sia più accessibile, ma resta la possibilità che il danno sia già stato fatto.
Di fronte a questa situazione, si raccomanda agli utenti della Nothing Community di cambiare le proprie password come misura precauzionale, nonostante non vi siano prove dirette di esposizione delle stesse.
Aggiornamento del 23/04/2023
In risposta alla scoperta di questo database di indirizzi e-mail appartenenti a membri della Nothing Community del 2022, Nothing ha rilasciato la seguente dichiarazione:
“Nel dicembre 2022, Nothing ha scoperto una vulnerabilità che ha colpito gli indirizzi e-mail appartenenti ai membri della comunità. Non sono stati compromessi nomi, indirizzi personali, password o informazioni di pagamento. Dopo questa scoperta, avvenuta quasi un anno e mezzo fa, Nothing ha intrapreso un’azione immediata per porre rimedio alla situazione e rafforzare le sue caratteristiche di sicurezza”.
