miércoles, 21 de mayo de 2014

Intrusión en eBay

Esta vez le ha tocado a eBay, el gigante de las subastas online acaba de anunciar una intrusión en sus sistemas, por lo que recomienda a todos sus usuarios el cambio de contraseñas.

Este miércoles eBay ha reconocido que entre finales de febrero y principios de marzo (¡hace más de dos meses!), sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Los datos afectados incluyen el nombre de los usuarios, contraseñas cifradas, dirección e-mail, dirección física, número de teléfono y fecha de nacimiento. Según confirman, la base de datos a la que lograron tener acceso los atacantes no contenía información financiera ni ningún otro tipo de información confidencial personal. No existe ninguna evidencia de acceso a datos como números de tarjetas de crédito, que se almacenan de forma separada de forma cifrada.

Según la nota publicada por eBay la intrusión se logró a través del compromiso de un pequeño número de credenciales de autenticación de empleados. Lo que permitió el acceso no autorizado a la red corporativa de eBay.

Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios.

La compañía también ha confirmado que no hay evidencias de de acceso no autorizado o compromisos de información relativa a los usuarios de PayPal. Los datos de PayPal se guardan de forma separada en una red segura, y toda la información financiera de PayPal está cifrada.

Como ya hemos comentado en casos similares, la recomendación pasa siempre porque la compañía almacene las contraseñas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica. Sin embargo eBay afirma que sus contraseñas estaban cifradas.

Como en otras ocasiones quedan preguntas en el aire:¿Como "cifraban" las contraseñas? y como ya viene siendo habitual ¿Cuanto tardarán los datos de los usuarios en aparecer en pastebin?

Como medidas de seguridad recodar las ya habituales, como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la "password", así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.

Más información:

eBay Inc. To Ask eBay Users To Change Passwords

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta



Antonio Ropero

Twitter: @aropero