42 millones de personas han sido expuestas por ciberdelincuentes que han atacado la web de citas Cupid Media.
Según cuenta hoy The Guardian, las cuentas, correos y contraseñas estaban sin cifrar y fueron robadas a principios de año junto con las de las web del mismo grupo UkraineDate.com, militarycupid.com y IranianSinglesConnection.com, pero la compañía no admitió el robo, hasta que ha sido expuesta por el investigador de seguridad Brian Krebs.
El robo se extiende a 35 sitios de citas en total, y fue descubierto por Krebs en el mismo servidor que la información de usuarios que se robó de Adobe que sufrió la compañía a principios de Noviembre, pero a diferencia de Adobe que si tenia algún tipo de cifrado, las de la compañía Cupid Media iban en texto claro, siendo contraseñas, nombres completos, direcciones de correo y fecha de nacimiento de los usuarios lo robado en este caso.
El director general de Cupid Media Andrew Bolton, reconoció que en Enero habían sufrido dicho robo pero que "en ese momento tomamos las medidas adecuadas para notificar a los clientes afectados y restablecer las contraseñas de usuario. Actualmente estamos en proceso de añadir la doble verificación a las cuentas afectadas y ya han recibido una notificación por correo electrónico".
Sin embargo la empresa Cupid Media solo ha notificado a los usuarios que ya estaban afectados por la violación de los datos.
 |
| Una captura de pantalla editada mostrando varias de las cuentas de usuario robadas.Las contraseñas se almacenan en texto sin formato. |
Andrew continuaba diciendo "El numero de usuarios afectados es considerablemente menor de los 42 millones citados".
También confirmó que dada la intrusión, la compañía ha comenzado a cifrar las contraseñas usando técnicas de "salting and hashing", una medida de seguridad que hacen que las fugas sigan ocurriendo.
El análisis de los datos filtrados proporciona una información "suculenta". Mas de las tres cuartas partes se registraron con cuentas de Yahoo, Hotmail o Gmail, pero lo que es aún mas inquietante es que mas de 11.000 cuentas habían utilizado direcciones de correo militares de EE.UU y más de 10.000 se habían registrado con cuentas gubernamentales del mismo país.
De las contraseñas filtradas, una vez más, casi 2 millones de ellas respondían al "Top Ten" "12346", mas de 1,2 millones eran "111111", "iloveyou" y "lovely". 40.000 eligieron como contraseña "QWERTY", 20.000 se decantaron por la parte inferior de su teclado, lo que se corresponde con "zxcvbn".
Una vez más os recuerdo la importancia de una "contraseña segura".
 |
| Top Ten de contraseñas mas usadas en webs de citas. |
Desde mi punto de vista, creo que cualquier empresa podría considerar la protección de los datos de sus usuarios una prioridad. Estoy seguro que empresas grandes pueden pagar ( o tienen) especialistas en seguridad que saben que las contraseñas y demás datos de un usuario no pueden ir en texto claro.
Y por nuestra parte, deberíamos educar mejor a los usuarios en el arte de crear contraseñas mas robustas.
Roberto García (@1GbDeInfo)
Fuente: The Guardian.
