La filtración en este gestor de contraseñas online incluye correos electrónicos, nombres y apellidos, direcciones IP, hashes de contraseña y recordatorios de contraseña
El día 13 de diciembre del pasado año, el equipo de seguridad de Abine descubrió que información sensible de sus usuarios podría haberse visto expuesta hasta el día 6 de enero del mismo año. Los datos incluidos son:
- Todas las direcciones de email de las cuentas de usuario.
- Nombres y apellidos de algunos de los usuarios.
- Recordatorios de contraseña, aunque sólo de aquellos que siguiesen usando este servicio a través de un antiguo producto de la compañía.
- Última y penúltima dirección IP con la que accedieron todos sus usuarios.
- Hashes de contraseña de la cuenta de Blur utilizando Bcrypt de forma segura.
La filtración no afecta a los datos almacenados en la cartera de contraseñas, así como a la información de pago por el servicio. Tampoco se han visto afectados los usuarios que hayan creado su cuenta tras el día 6 de enero del 2018, fecha de la que data la filtración. No obstante, al haberse revelado los hashes de contraseña, desde la empresa ya han recomendado a sus usuarios cambiar su clave de acceso.
Aunque en el comunicado no se ha descrito en qué ha consistido la filtración, ni quién ha podido tener acceso a la misma, sorprende la diferencia de tiempo entre que se realizó (6 de enero) y se descubrió (13 de diciembre). Al no haber información adicional, sólo cabe elucubrar sobre si la filtración fue debida a un descuido de un empleado, un trabajador descontento, o si se debe a una vulnerabilidad ya resuelta o aún disponible.
Fuente:
Blur Security Update:
https://www.abine.com/blog/2018/blur-security-update/
