contraseñas
Living social informó durante el fin de semana a sus millones de usuarios que los maliciosos hackers han comprometido el sistema y computadoras del popular sitio de cupones, exponiendo nombres, direcciones de email, fechas de nacimiento y contraseñas encriptadas de un número indeterminado de miembros de Living Social.
La buena noticia es que, según Living Social, las contraseñas de los usuarios han sido encriptadas. En otras palabras, las contraseñas estaban salvadas en un formato encriptado que haría muy difícil – aunque no imposible – que los atacantes encontraran sentido a los datos de contraseñas a los que consiguieran acceso. La compañía también declaró que los atacantes no accedieron a una base de datos separada, en donde se encuentran alojados los datos de las tarjetas de crédito y formas de pago de los clientes.
Nuevamente, las contraseñas encriptadas (busca más abajo la explicación) son difíciles, pero no imposibles, de corromper. Si posees una cuenta en Living Social, entonces deberías seguir este enlace inmediatamente y cambiar tu contraseña. Un dato más importante es que, si has utilizado esa misma contraseña para otros sitios, entonces deberías también cambiar la contraseña en estos otros sitios.
Casi se está llegando al punto en donde los atacantes deben comprometer la información de pagos, buscar contraseñas de texto planas (sin encriptar) u otra cosa humillante, que pudiera importarle a alguien, en un servidor hackeado. Consumidores, organizaciones que deberían estar protegiendo los datos de los clientes, y hasta algunos profesionales de la seguridad, están cada vez más insensibilizados a este tipo de violaciones a la seguridad. No solía ser así. Al principio, nadie hablaba de la fuga de datos, entonces fue más difícil barrer estas brechas debajo de la alfombra, y las compañías tuvieron que esclarecer estas situaciones. Ahora vemos qué tan comunes son estas fugas de datos, y es bastante difícil contener la ira en el rostro cuando hablamos de brechas diarias.
Somos concientes de esto porque todos leemos acerca del phishing. De hecho, tal vez leamos acerca de la caza de phishing y otros ataques de ingeniería social tan a menudo como leemos acerca de la fuga de datos. En general, los ataques de ingeniería social, dependen de que el atacante posea cierto nivel de conocimiento sobre sus objetivos.
¿De dónde crees que los ingenieros sociales sacan las direcciones de email para los ataques de phishing? ¿Cómo saben cuáles son los gustos e intereses de sus potenciales víctimas, para poder mandar los emails con los ataques exitosamente? ¿Por qué estos hackers son tan buenos adivinando contraseñas y preguntas de reseteo de contraseñas?
Mucha de esta información se obtiene de información verificada de las fugas de datos. Para ser justos, mucho de esto es obtenido también de la forma abierta que tienen los usuarios de publicar información personal propia en las redes sociales, pero ese es un tema para otro día. Las personas a menudo utilizan su dirección de mail corporativa para varios servicios online, y cuando las bases de datos para esos servicios se ven comprometidas, los atacantes obtienen contactos de mail de organizaciones de alto nivel a los que pueden intentar de estafar con mails de phishing. Las fechas de nacimiento también pueden ser valiosas, porque los usuarios a menudo las utilizan en sus contraseñas, o en sus preguntas de recuperación de contraseñas. Obviamente, si son craqueadas, los hashes de contraseñas expuestas pueden causar serios problemas a los usuarios que insisten en compartir contraseñas
Si te interesa, y supongo que es el caso debido al hecho de que estás leyendo un blog diseñado para educar a los usuarios acerca de la seguridad, Living Social ha proporcionado una explicación sorprendentemente excelente de lo que comúnmente se conoce como ” salting and hashing ” en la sección FAQ de la notificación de la fuga de datos:
“Las contraseñas de LivingSocial fueron hasheadas con SHA1utilizando un salt aleatorio de 40 byte. Lo que esto significa es que nuestro sistema tomó las contraseñas ingresadas por nuestros usuarios y utilizó un algoritmo para cambiarlas a un hilo de datos único (esencialmente creando una huella digital de datos única) – ese es el hash. Para agregar una capa extra de protección, el salt estira las contraseñas y les agrega complejidad. Hemos cambiado nuestroalgoritmo de hashing de SHAI a bcrypt”.
Consejos