Kickstarter fue vulnerado y se instó a que los usuarios cambiaran sus contraseñas

El fin de semana pasado, el sitio de crowdfunding, Kickstarter publicó algo que llamó “una importante nota de seguridad“, algo que se puede reconocer como un anuncio de que fue hackeado.

Parte de la nota dice:

El miércoles pasado, oficiales de las fuerzas de seguridad se contactaron con Kickstarter y nos alertaron que atacantes habían ganado acceso no autorizado a datos de algunos de nuestros usuarios. Al enterarnos de esto, solucionamos inmediatamente la brecha de seguridad y comenzamos a aumentar las medidas de seguridad a lo largo de todo el sistema de Kickstarter.

Ninguna información de tarjetas de cualquier tipo fue accedida por los atacantes. No hay evidencia alguna de actividad no autorizada de ningún tipo, excepto en dos cuentas de usuario de Kickstarter.

Mientras que ningún dato de tarjetas de crédito fue accedido, sí hubo alguna información de usuario a las que se logró acceso indebido. Dicha información se trata de nombres de usuario, dirección de e-mail, domicilio, número de teléfono y contraseñas encriptadas. Las contraseñas no fueron reveladas, aunque existe la posibilidad de que un usuario malicioso con suficientes conocimientos pueda intentar adivinar y acertar una contraseña, especialmente si se trata de una libre.

Como precaución, recomendamos que creen una nueva contraseña para su cuenta de Kickstarter, y también para otras cuentas en las que utilicen la misma contraseña.

Hay algunos puntos interesantes aquí, que valen la pena examinar uno por uno.

En primer lugar, Kickstarter no sabía que había sufrido un incidente, fueron las autoridades quienes los alertaron.

¿Esto sucedió porque las autoridades fueron avisadas por un alma caritativa que se había encontrado con la brecha de seguridad? ¿O será que los policías vieron a los atacantes explotando información que había sido obtenida de Kickstarter? ¿O, incluso, es que el atacante había sido descubierto porque quizás los criminales están intentando vender acceso a la información obtenida?

Es llamativo que los propios sistemas de Kickstarter no los hayan alertado sobre el problema y que hayan necesitado de un aviso de las autoridades para enterarse.

En segundo lugar, ningún dato de tarjetas de crédito fue accedido, y gracias a Dios que eso no ha sucedido, porque hubiera empeorado aún más la situación.

Pero no se olviden: nombres de usuario, direcciones de e-mail, domicilios y números telefónicos fueron expuestos. Y eso es suficiente para que un ciberdelincuente pueda desarrollar un complejo ataque de Ingeniería Social, quizás simulando ser una compañía en la que te interesaba invertir en Kickstarter.

En tercer lugar, no sabemos la cantidad de datos a la cual accedieron los ciberdelincuentes, pero lo más sensato es pensar lo peor, es decir, que todos los datos están potencialmente en riesgo. Kickstarter dice que solo notó una actividad no autorizada en dos cuentas, y luego continúa recomendando que todos los usuarios tomen acción en cuanto a sus contraseñas.

En cuarto lugar, las contraseñas robadas no pueden ser accedidas fácilmente. Citando a las  “preguntas frecuentes” de Kickstarter:

Las contraseñas antiguas fueron trabajadas con grano de sal y procesadas con SHA-1 en múltiples ocasiones. Mientras que en las más actuales se utilizó bcrypt.

Esto significa que las contraseñas no están simplemente encriptadas, sino que estaban hasheadas criptográficamente.

Esto dificulta que un cibercriminal vulnere la contraseña, pero no necesariamente lo imposibilita. Idealmente, Kickstarter debería tomar esta vulnerabilidad de su sistema de seguridad para reexaminar cómo está almacenando las contraseñas de sus usuarios y pueda adoptar sistemas más seguros en el futuro.

En quinto lugar, es necesario dejar de utilizar contraseñas fáciles de adivinar, por tanto de vulnerar, o incluso usar las mismas en distintos servicios. Los problemas que ocasionó este evento en general se dan por las tendencias que tienen los usuarios a reusar las contraseñas.

Utilizar la misma contraseña para Kickstarter y para, por ejemplo, una cuenta de eBay o de correo electrónico es un comportamiento inseguro. De modo que si todavía no lo han hecho, lo recomendable es conseguir un buen programa o software de manejo de claves que los puede ayudar a crear contraseñas complejas, largas y muy difíciles de vulnerar.

Finalmente, Kickstarter no hizo ninguna declaración hasta el sábado. En Estados Unidos el fin de semana fue largo porque el lunes fue el Día del Presidente, lo que significa que muchas personas no se podrán poner al día con las noticias de tecnología hasta el martes, como mínimo. Kickstarter podría haber hecho alguna declaración el jueves o viernes, pero no lo hizo.

Por otro lado, es perfectamente razonable que cualquier compañía a la que le hayan robado información de sus usuarios quiera poner sus cosas en orden, y asegurarse de que entiende y conoce perfectamente lo que sucedió, de modo que no se ponga en una situación vergonzosa de tener que volver a la prensa para admitir que las cosas están peores de lo que pensaban en un primer momento.

En este sentido, todos recordamos la brecha de seguridad que sufrió Adobe que empezó con tres millones de usuarios expuestos, antes de escalar a 38 millones de datos y códigos de producto robados, para finalmente terminar publicando online que aparentemente se había robado una base de datos de 150 millones de cuentas.

Pero los más cínicos de nosotros nos preguntamos si el equipo de prensa de Kickstarter vio algún tipo de beneficio en evitar comunicar la vergonzosa noticia de un agujero en su seguridad justo antes de un fin de semana largo, haciendo la historia menos atractiva para cuando los periodistas de tecnología volvieran a sus escritorios el martes.

Por su parte, Kickstarter defiende haber hecho el anuncio tardío diciendo:

Cerramos la brecha inmediatamente y notificamos a todos luego de haber investigado exhaustivamente la situación.

Por supuesto que el retraso significa que los ciberdelincuentes tuvieron cuatro días de ventaja frente a quienes sufrieron el robo de sus datos a través del agujero de seguridad.

Durante esos cuatro días, y si tuvieron la mala suerte de haber usado su contraseña de Kickstarter en otros servicios en línea, los cibercriminales podrían haber accedido a sus otras cuentas online y robado la información de ellas también. Asimismo, no había nada que los pudiera detener de enviar spam, contenido malicioso o ataques de phishing, ya que ahora conocen sus direcciones de correo y otros datos personales.

Tengan cuidado amigos, y si son usuarios de Kickstarter ahora sería un excelente momento para cambiar sus contraseñas.

Les dejamos las últimas palabras de Kickstarter sobre este episodio:

Estamos muy apenados por lo que sucedió. Hemos puesto la vara muy alta en cómo servimos a nuestra comunidad y este incidente es muy frustrante y triste. Hemos mejorado nuestros procedimientos de seguridad y sistemas en múltiples aspectos, y continuaremos haciéndolo en las próximas semanas y meses. Nos encontramos trabajando desde cerca con las fuerzas de la ley y estamos haciendo todo lo que está en nuestro poder para prevenir que hechos como este se repitan.

Estoy seguro que nadie le desearía a una compañía de tecnología una brecha de seguridad como ésta. Las víctimas del ataque no solo fueron los usuarios, sino Kickstarter también. Esperemos que las autoridades tengan éxito identificando a los responsables y llevándolos a la justicia.

Traducción de welivesecurity.com.
 

Autor , ESET

Síguenos