miércoles, 21 de mayo de 2014

Intrusión en eBay

Esta vez le ha tocado a eBay, el gigante de las subastas online acaba de anunciar una intrusión en sus sistemas, por lo que recomienda a todos sus usuarios el cambio de contraseñas.

Este miércoles eBay ha reconocido que entre finales de febrero y principios de marzo (¡hace más de dos meses!), sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue comprometida. Los datos afectados incluyen el nombre de los usuarios, contraseñas cifradas, dirección e-mail, dirección física, número de teléfono y fecha de nacimiento. Según confirman, la base de datos a la que lograron tener acceso los atacantes no contenía información financiera ni ningún otro tipo de información confidencial personal. No existe ninguna evidencia de acceso a datos como números de tarjetas de crédito, que se almacenan de forma separada de forma cifrada.

Según la nota publicada por eBay la intrusión se logró a través del compromiso de un pequeño número de credenciales de autenticación de empleados. Lo que permitió el acceso no autorizado a la red corporativa de eBay.

Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios.

La compañía también ha confirmado que no hay evidencias de de acceso no autorizado o compromisos de información relativa a los usuarios de PayPal. Los datos de PayPal se guardan de forma separada en una red segura, y toda la información financiera de PayPal está cifrada.

Como ya hemos comentado en casos similares, la recomendación pasa siempre porque la compañía almacene las contraseñas en forma de hash usando una función sólida (sin problemas conocidos de seguridad) y aplicando buenas prácticas. Este tipo de funciones son teóricamente irreversibles, es decir, una vez almacenado el hash debería ser imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce como criptografía asimétrica. Sin embargo eBay afirma que sus contraseñas estaban cifradas.

Como en otras ocasiones quedan preguntas en el aire:¿Como "cifraban" las contraseñas? y como ya viene siendo habitual ¿Cuanto tardarán los datos de los usuarios en aparecer en pastebin?

Como medidas de seguridad recodar las ya habituales, como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la "password", así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.

Más información:

eBay Inc. To Ask eBay Users To Change Passwords

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta



Antonio Ropero

Twitter: @aropero

8 comentarios:

  1. Hispasec, me tenéis un poco hasta las naricillas con ésto de que si escribo el comentario en Mozilla Firefox (con NoScript, todo hay que decirlo) se pierde por la cara.

    ResponderEliminar
  2. Noticia importante, pero con un error:
    -"eBay (...) recomienda a todos sus usuarios el cambio de contraseñas"
    -"Como medida de seguridad, eBay recomienda el cambio de contraseñas a todos sus usuarios."
    Dicha recomendación no se ha producido. Al menos, no todavía. El citado comunicado no dice que recomiende a los usuarios cambiar de contraseña, sino que "va a recomendarlo". Más aún dice "Beginning later today, eBay users will be notified via email, site communications and other marketing channels to change their password.". Habla en futuro. Ars Technica dice: "Asked to comment on the lack of disclosure, an eBay spokeswoman wrote: "An updated password reset process is currently being rolled out to all our users. It will be available shortly." ". Es decir, se está poniendo a punto un método para reiniciar las contraseñas, pero no está listo aún.
    Yo soy usuario de eBay y he recibido exactamente cero notificaciones. En cambio, sí que he recibido hace poco una notificación de SourceForge informando que han cambiado su algoritmo de hash por otro más fuerte, y que en el próximo inicio de sesión mi contraseña sería rehasheada; en este caso sí que me he apresurado a cambiar la contraseña. Pero en el caso de eBay no voy a hacerlo. ¿Porqué? Porque hay varias formas de lograr acceso a las contraseñas. Una es acceder directamente a la base de datos (difícil) y otra es lograr introducirse en el proceso de inicio de sesión y obtener copia de las contraseñas en cada inicio de sesión que se produzca (menos difícil). Mientras no se confirme que eBay ha quedado limpio como una patena, apresurarse a cambiar la contraseña podría no servir para otra cosa que facilitar a los intrusos una contraseña que aún no tienen.

    ResponderEliminar
    Respuestas
    1. Después de escribir lo anterior, me dio por visitar la portada del sitio de eBay en la telaraña de amplitud mundial, www.ebay.com... y me encuentro que ahí sí que se muestra una petición de cambiar la contraseña, ofreciendo dos medios:
      a) Un mensaje de correo electrónico. No funciona, a mí no me llega.
      b) Un SMS con un código PIN. Sí funciona y se puede introducir una contraseña.
      Pero lo que se dice avisar a los afectados por correo electrónico, nanay. ¿No había una nueva normativa europea que obligaba a advertir a los afectados en caso de intrusión?

      Eliminar
    2. Y están avisando, ¿o no? Al entrar has visto un aviso en la portada... ;)

      Ya si eso, a lo mejor, en un futuro quizás recibas algo. Pero hoy no, ¡¡MAÑANA!! Jajajaja

      Eliminar
  3. Las empresas siempre declaran que los datos financieros están seguros en otra base de datos, además de cifrados e infranqueables. Pero... ¿por qué no tratan todos los datos con el mismo "cariño"?

    No me parece que sea nada más alla que venta de humos. La típica frase re-mascada que es necesaria decir para tranquilizar a los afectados y evitar que se le vengan encima miles o millones de demandas (y aun así no entendo como no les llueven desde los EUA debido a la gravedad del asunto).

    Y lo que es todavía más importante, ¿por qué, con la extrema importancia y delicadeza de este tipo de asuntos, tardan meses en asumirlos y alertar a los usuarios/clientes? ¿Es que no son capaces de detectar la intrusión al momento (con lo que la gravedad del asunto aumentaría "in extremis")? ¿O es que acaso esperan un tiempo prudencial para ver que hacen con los datos robados y poder alegar "tranquilos, hace varios meses de esto y no ha pasado nada"?

    ResponderEliminar
  4. Hispasec me tenéis hasta las naricillas de verdad, ahora no sólo se pierden por la cara los comentarios realizados desde Mozilla Firefox sino también los realizados desde Google Chromium,

    ResponderEliminar
  5. Hoy 27 de mayo de 2014, a las 9:20 h. (hora europea y de Madrid), he recibido el mensaje de eBay pidiendo cambiar la contraseña. Es decir, han pasado más de cuatro días desde que anunciasen que lo iban a pedir. ¡Tarde, señores de eBay!

    ResponderEliminar
  6. Dentro de la tardanza de eBay, hay que reconocer que su mensaje hace lo correcto: contiene cero enlaces, que es lo que hay que hacer para que los usuarios no se acostumbren a fiarse de los enlaces distribuidos por correo elecrónico. En vez de ello, dice: "Ve al sitio de eBay.es y cambia tu contraseña."

    ResponderEliminar