Esta
vez le ha tocado a eBay, el gigante
de las subastas online acaba de
anunciar una intrusión en sus
sistemas, por lo que recomienda a todos sus usuarios el cambio de
contraseñas.
Este miércoles eBay ha reconocido
que entre finales de febrero y principios de marzo (¡hace más de dos meses!),
sufrieron una intrusión en sus sistemas y la base de datos de usuarios fue
comprometida. Los datos afectados incluyen
el nombre de los usuarios, contraseñas cifradas, dirección e-mail, dirección física,
número de teléfono y fecha de nacimiento. Según confirman, la base de datos
a la que lograron tener acceso los atacantes no contenía información financiera
ni ningún otro tipo de información confidencial personal. No existe ninguna
evidencia de acceso a datos como números de tarjetas de crédito, que se
almacenan de forma separada de forma cifrada.
Según la nota publicada
por eBay la intrusión se logró a través del compromiso de un pequeño número
de credenciales de autenticación de empleados. Lo que permitió el acceso no autorizado a la red
corporativa de eBay.
Como medida de seguridad, eBay recomienda el cambio de contraseñas a
todos sus usuarios.
La compañía también ha confirmado
que no hay evidencias de de acceso no autorizado o compromisos de información
relativa a los usuarios de PayPal. Los datos de PayPal se guardan de forma
separada en una red segura, y toda la información financiera de PayPal está
cifrada.
Como ya hemos comentado en casos
similares, la recomendación pasa siempre porque la compañía almacene las
contraseñas en forma de hash usando una función sólida (sin problemas conocidos
de seguridad) y aplicando buenas prácticas. Este tipo de funciones son
teóricamente irreversibles, es decir, una vez almacenado el hash debería ser
imposible conocer qué cadena (la contraseña) lo originó. Es lo que se conoce
como criptografía asimétrica. Sin embargo eBay
afirma que sus contraseñas estaban cifradas.
Como en otras ocasiones quedan
preguntas en el aire:¿Como "cifraban"
las contraseñas? y como ya viene siendo habitual ¿Cuanto tardarán los datos de
los usuarios en aparecer en pastebin?
Como medidas de seguridad recodar
las ya habituales, como no emplear la misma contraseña en diferentes sitios,
cambiar regularmente la "password",
así como emplear caracteres y símbolos en la contraseña. Usar de la misma
contraseña en múltiples servicios hace al usuario vulnerable ante otros ataques.
Más información:
eBay Inc. To Ask eBay Users To Change Passwords
una-al-dia (05/11/2013) Adobe, la
tormenta después de la tormenta
Antonio Ropero
Twitter: @aropero
