La compañía Living Social ha informado a sus millones de clientes que, el pasado fin de semana, un grupo de hackers maliciosos han atacado sus sistemas, divulgando los nombres, direcciones de correo electrónico, fechas de nacimiento y contraseñas cifradas de un gran número de sus miembros.
Las buenas noticias son que, según la entidad, las claves de los usuarios estaban guardadas en un formato cifrado que hacía difícil –sino imposible- que los hackers tuvieran acceso a dichos códigos. Living Social ha afirmado que los atacantes no entraron en una base de datos separada donde se almacena la información de pago y los detalles de las tarjetas de crédito de los clientes.
Una vez más, las contraseñas con encriptación Hash son prácticamente imposibles de crackear. Si tienes una cuenta en Living Social, te recomendamos que pinches en este enlace y cambies tu contraseña; especialmente, si usas la misma clave para diferentes cuentas o perfiles. No olvides de cambiarlas también.
Ha llegado un punto en que es necesario que hackers maliciosos ataquen ciertos servicios y roben los datos confidenciales de los clientes para que las entidades se preocupen y tomen medidas al respecto. Estas violaciones y ataques se están convirtiendo en algo tan común que algunos expertos, consumidores y organizaciones se están insensibilizando con este tema.
Actualmente, leemos gran cantidad de noticias sobre ataques maliciosos: spear phishing, phishing o ingeniería social. En este último caso, el atacante necesita tener cierto nivel de conocimiento sobre el objetivo. ¿De dónde sacan las direcciones de correo electrónico para enviar sus ataques de phishing? ¿Por qué son tan buenos en adivinar contraseñas o restablecerlas?
Toda esta información se obtiene tras la violación de datos. En realidad, en muchas ocasiones es el propio usuario quien publica mucha de esta información en las redes sociales. De hecho, muchas personas utilizan, incluso, su email profesional para diferentes servicios online y cuando se explota la base de datos de dichas plataformas, los hackers disponen de los contacto de email para sus ataques de phishing. Las fechas de nacimiento son valiosas, porque los usuarios suelen utilizarlas como claves de acceso o como respuesta a las preguntas para restablecer una contraseña. Obviamente, si un hacker crackea nuestra clave, podemos estar en un buen aprieto.
Afortunadamente, Living Social proporcionó una gran explicación sobre las contraseñas Hash en su sección de Preguntas Frecuentes sobre el ataque sufrido:
“Las contraseñas de LivingSocial están cifradas con el sistema SHA 1. Esto significa que nuestro sistema coge las claves de los usuarios y usa un algoritmo para transformarlas en un dato único, en un hash. Además, se añade un salt criptográfico que alarga la contraseña y la hace más compleja. En LivingSocial, hemos cambiado nuestro algoritmo hash de SHA1 a bcrypt.”