Video: BANCO DE ESPAÑA recomienda: "Condonación de deudas" a autónomos. Cambio ley deudas admin pública. (Noviembre 2024)
Los ciberatacantes violaron recientemente los sistemas de LivingSocial y accedieron ilegalmente a información de clientes de más de 50 millones de usuarios, dijo LivingSocial. Los usuarios deben cambiar sus contraseñas de inmediato.
Como PCMag.com informó ayer, LivingSocial envió correos electrónicos de notificación de violación de datos a todos los clientes afectados informándoles de un ataque cibernético que resultó en el acceso no autorizado a los datos de los clientes. Según LivingSocial, más de 50 millones de cuentas se vieron potencialmente afectadas, lo que hace que esta sea una de las mayores infracciones de contraseña este año.
No está claro en este momento cómo ocurrió la violación y qué otra información fue robada. En este tipo de incidentes, los atacantes generalmente intervienen instalando secretamente malware en los dispositivos de los empleados y luego se abren camino en la red hasta que encuentran sistemas sensibles, dijo a SecurityWatch George Tubin, estratega de seguridad de Trusteer.
Los proveedores "deben esperar que los hackers apunten a sus sistemas para obtener datos de clientes o información corporativa confidencial", dijo Tubin. En este punto, "es obvio que estos proveedores simplemente no están haciendo lo suficiente para proteger la información de sus clientes", dijo Tubin.
Las contraseñas con sal y hash no son a prueba de grietas
Es una buena señal de que LivingSocial ha descifrado y salado sus contraseñas, ya que eso ralentizará un poco a los atacantes, pero "no impedirá" que los atacantes intenten, y tengan éxito, al descubrir las contraseñas originales, Ross Barrett, gerente superior de seguridad ingeniería en Rapid7, dijo a SecurityWatch . Mientras que la salazón ralentiza el proceso de craqueo, "eventualmente los atacantes o su red obtendrán la información que buscan", dijo Barrett.
El hash es un cifrado unidireccional, donde siempre se obtiene el mismo resultado para una determinada entrada, pero no es posible comenzar con un hash y determinar cuál era la cadena original. Los atacantes con frecuencia confían en las tablas del arco iris, una serie de inmensos diccionarios que contienen todas las cadenas imaginables (incluyendo palabras del diccionario, apellidos comunes, incluso letras de canciones) y los valores hash relevantes. Los atacantes pueden hacer coincidir el hash de la tabla de contraseñas con la tabla del arco iris para encontrar la cadena original que generó el código.
La salazón se refiere al proceso de agregar información adicional a la cadena de entrada original antes de crear un hash. Como el atacante no sabe cuáles son los bits de datos adicionales, descifrar los hash se vuelve más difícil.
El problema, sin embargo, es que LivingSocial usó SHA1 para generar el hash, un algoritmo débil. Al igual que MD5, otro algoritmo popular, SHA1 fue diseñado para operar rápidamente y con una cantidad mínima de recursos informáticos.
Teniendo en cuenta los avances recientes en hardware y tecnologías de piratería, los hash SHA1, incluso salados, no son a prueba de grietas. LivingSocial hubiera estado mejor con bcrypt, scrypt o PBKDF-2.
Cambie esas contraseñas ahora
LivingSocial ha restablecido las contraseñas de manera preventiva para todos los usuarios y los usuarios deben asegurarse de elegir nuevas contraseñas que no se usen en ningún otro lugar. Muchas personas tienden a reutilizar la misma contraseña en todos los sitios; Si los usuarios utilizan la contraseña de LivingSocial en otros sitios, también deben cambiar esas contraseñas de inmediato. Una vez que se descifran las contraseñas, los atacantes pueden probar las contraseñas contra servicios populares como el correo electrónico, Facebook y LinkedIn.
"Estas infracciones son otro recordatorio de por qué es tan importante mantener una buena higiene de la contraseña y usar contraseñas diferentes para todas las cuentas y sitios", dijo Barrett.
Los atacantes también pueden usar fechas de nacimiento y nombres para crear phishing y otras campañas de ingeniería social. Pueden hacer referencia a estos detalles para engañar a los usuarios haciéndoles creer que son mensajes legítimos. Los datos robados serán "potenciadores de ataques durante mucho tiempo", dijo Barrett.
La violación de LivingSocial es "otro recordatorio de que las organizaciones continuarán siendo blanco de sus valiosos datos de clientes", dijo Barrett.
