Il sito di StockX è stato hackerato

Il caso è stato portato all'attenzione pubblica grazie ad un articolo pubblicato su TechCrunch: il sito di StockX, piattaforma di reselling leader del settore, da poco valutato per $1 miliardo di dollari, è stato hackerato. 

Giovedì scorso agli utenti del sito era arrivata una mail che chiedeva di reimpostare la password dei loro account, a causa di un aggiornamento del sistema. Richiedere di cambiare la password ai propri utenti è una prassi comune utilizzata da decine di siti e piattaforme online, anche e soprattutto per prevenire leak e incrementare la sicurezza del proprio sito. Sebbene fossero queste le intenzioni dichiarate da StockX, il sito fondato da Josh Luber stava cercando in realtà di aumentare la sicurezza del proprio sito a causa di un'attività sospetta non meglio identificata.

Gli utenti del sito hanno avuto reazioni comprensibilmente preoccupate e perplesse alla mail ricevuta, non sapendo se si trattase di una mail legittima o di un tentativo di hackeraggio, soprattutto perché StockX non ha rilasciato ulteriori informazioni sulla questione, nemmeno agli utenti che hanno contattato direttamente il sito, sia via mail che su Twitter. StockX si è limitato a chiarire che la mail che chiedeva la reimpostazione della password era effettivamente legittima, aggiungendo inoltre che proveniva dal proprio team. Molti esperti di sicurezza, però, hanno dichiarato che raramente quando si procede con un aggiornamento di sistema viene richiesto di reimpostare la password ai propri utenti.

Quello che StockX non aveva detto, però, è che il sito era stato hackerato lo scorso maggio, e che la richiesta di cambiare le password era un tentativo diretto di arginare l'attacco degli hacker, o quanto meno di fronteggiarne le conseguenze. Secondo quanto riportato da TechCrunch, che si è messo in contatto con uno dei venditori di questi dati rubati, sono oltre 6 milioni gli account violati, e i relativi dati sensibili. I dati rubati riguardano non solo il nome e il cognome dell'utente, ma anche il numero di scarpa, l'indirizzo mail, la password, e il tipo di dispositivo - Android o iPhone, da cui l'utente accedeva al sito. Praticamente ogni informazione di un utente che utilizza il sito non è più protetta in nessun modo. 

L'aspetto più preoccupante della questione non è solo il fatto che ad oggi nessun rappresentante di StockX, tanto meno il suo volto pubblico, Josh Luber, abbia voluto commentare la vicenda, ma soprattutto che il sito abbia tenuto nascosto l'accaduto, di fatto mentendo ai propri utenti. Da maggio ad oggi milioni di persone hanno utilizzato regolarmente StockX senza sapere che i propri dati personali e privati erano già in vendita. Su Instagram e online sono già nate diverse pagine che parlano di una possibile class action proprio nei confronti di StockX.