Mark Lucas
0 
1684
147
Las violaciones de datos son parte del mobiliario de nuestras vidas digitales. Apenas pasa un día sin que otra compañía filtre sus datos. Y aunque estos eventos se están volviendo más comunes, algo más cambió en 2018 también.
La implementación del Reglamento General de Protección de Datos (GDPR) de la UE significa que las empresas ahora se comprometen a revelar cualquier incumplimiento dentro de las 72 horas. Puede ser difícil mantenerse al día con los últimos hacks, por lo que hemos reunido algunas de las infracciones más notables del año.
1. Under Armour
Usuarios afectados: 150 millones
Datos expuestos: Nombres de usuario, direcciones de correo electrónico y contraseñas hash
Para muchas personas en todo el mundo, la aplicación de seguimiento de dieta y ejercicio MyFitnessPal (MFP) es un compañero diario en su viaje de acondicionamiento físico. Por lo tanto, fue una pequeña sorpresa cuando la compañía de ropa deportiva Under Armour adquirió MFP como parte de su oferta digital. En marzo de 2018, Under Armour (UA) emitió una declaración de que MyFitnessPal se había visto comprometida, con los nombres de usuario, las direcciones de correo electrónico y las contraseñas hash de los 150 millones de usuarios de la aplicación expuestos.
La compañía actuó rápidamente. Dentro de los cuatro días de enterarse de la violación, MyFitnessPal envió una actualización por correo electrónico a todos los usuarios y creó un sitio web de preguntas frecuentes. Recomendaron que todos los usuarios cambien sus contraseñas de inmediato y que continúen, de forma algo vaga, “hacer mejoras a [sus] sistemas para detectar y prevenir el acceso no autorizado a la información del usuario.”
En la superficie, parece que Under Armour estaba haciendo lo correcto por sus usuarios. Sin embargo, si bien algunas contraseñas se cifraron mediante el proceso bcrypt-a para transformar su contraseña en una cadena de caracteres ilegible Cada sitio web seguro hace esto con su contraseña Cada sitio web seguro hace esto con su contraseña ¿Alguna vez se preguntó cómo los sitios web mantienen su contraseña segura de los datos? infracciones? -Otros no tuvieron tanta suerte. Aunque no revelaron los números, una parte de la importante base de usuarios de MFP solo estaba protegida con SHA-1, ampliamente considerada como la forma más débil de hashing.
Aunque la filtración ocurrió a principios de año, a partir de septiembre de 2018, no hubo más actualizaciones sobre la causa de la violación o cómo UA espera evitar futuros ataques. La compañía tampoco ha detallado si continuarán usando el hash SHA-1.
2. British Airways
Usuarios afectados: Desconocido
Datos expuestos: Datos personales y financieros del cliente.
A medida que el verano llegaba a su fin a principios de septiembre, la aerolínea más grande del Reino Unido, British Airways (BA), dijo que estaban investigando urgentemente el robo de información de los clientes. En su sitio web de información sobre incidentes, la compañía dijo que el robo afectó “clientes que hicieron reservas o cambios en sus reservas […] entre las 22:58 BST del 21 de agosto de 2018 y las 21:45 BST del 5 de septiembre de 2018.” Los datos robados incluyen nombres, dirección de correo electrónico, dirección de facturación y detalles de la tarjeta bancaria.
Si estuvo entre las desafortunadas víctimas del ataque, BA ha prometido que no se quedará sin dinero como resultado directo del robo. Sin embargo, vale la pena señalar que no han dicho lo que consideran un “resultado directo.” En los días posteriores a la divulgación, The Register informó que un script de pago externo podría haber sido el culpable del ataque. La firma de seguridad RiskIQ dijo que el ataque probablemente fue llevado a cabo por un grupo conocido como Magecart, que fueron responsables de un ataque muy similar en Ticketmaster a principios de 2018.
Poco más de un año antes del ataque, BA también estaba en el centro de una falla de energía informática masiva. La falla hizo que los sistemas de TI de la compañía se detuvieran, aterrizando todos los aviones y afectando a miles de pasajeros. A pesar de ser noticia en todo el mundo, BA ha dicho poco sobre la causa de la interrupción sin precedentes..
3. TypeForm
Usuarios afectados: Desconocido
Datos expuestos: Datos de la encuesta, incluida información de identificación personal
Si ha completado una encuesta en línea en los últimos años, probablemente haya utilizado el sitio web de recopilación de datos Typeform. Sus encuestas son populares entre las empresas, ya que son fáciles de configurar y fáciles de usar. Los clientes de Typeform son empresas, no usuarios finales. Entonces, cuando la compañía descubrió una violación en junio de 2018, alertaron a sus clientes.
El sitio de respuesta a incidentes de Typeform carece de detalles y se centra en cómo las empresas deben informar a los clientes sobre la divulgación. Todo lo que sabemos sobre la violación de Typeform es que fue el resultado del acceso no autorizado a una copia de seguridad parcial con fecha del 3 de mayo de 2018. Aunque no está claro qué tan atrás se extienden esos datos. Como Typeform eligió no proporcionar un desglose detallado, el número total afectado tampoco está claro.
Sin embargo, la lista de organizaciones atrapadas en la brecha es bastante extensa. Los minoristas británicos Fortnum & Mason y John Lewis estuvieron entre los afectados, junto con la cadena de panaderías australiana Bakers Delight. Otras víctimas conocidas incluyen Airtasker, Rencore, PostShift, Revolut, la Unión de Estudiantes de la Universidad de Middlesex, Monzo, la Comisión Electoral de Tasmania, Travelodge y los Demócratas Liberales del Reino Unido..
4. Exactis
Usuarios afectados: 340 millones
Datos expuestos: Todo lo imaginable, menos la Seguridad Social y los números de tarjeta de crédito.
En nuestra economía moderna, intercambiamos nuestros datos a cambio de productos gratuitos y servicios en línea. Sin embargo, hay un movimiento creciente en contra de este tipo de recopilación de datos. Se refieren despectivamente a la práctica como capitalismo de vigilancia. Este sentimiento se ha vuelto aún más popular a raíz del hack de Equifax en 2017 Equihax: una de las violaciones más calamitosas de todos los tiempos Equihax: una de las violaciones más calamitosas de todos los tiempos La violación de Equifax es la violación de seguridad más peligrosa y embarazosa de todo el tiempo. ¿Pero conoces todos los hechos? ¿Has sido afectado? ¿Qué puedes hacer al respecto? Descúbrelo aquí. y el escándalo de Cambridge Analytica en Facebook aborda el escándalo de Cambridge Analytica en Facebook El escándalo de Cambridge Analytica Facebook se ha visto envuelto en lo que se conoce como el escándalo de Cambridge Analytica. Después de permanecer en silencio durante unos días, Mark Zuckerberg ha abordado los problemas planteados. . Probablemente se sorprendió de que Equifax hubiera estado recopilando información detallada sobre usted a sus espaldas. Lamentablemente, no te sorprenderá saber que no fueron los únicos..
En junio, el investigador de seguridad Vinny Troia utilizó el buscador de computadora Shodan para descubrir una base de datos que contenía 340 millones de registros. La empresa de marketing Exactis dejó la base de datos sin seguridad en un servidor disponible públicamente. Mientras que los 145.5 millones de registros del hack de Equifax recibieron una cobertura generalizada, la base de datos Exactis eclipsó eso en 340 millones de registros. Sin embargo, a diferencia de los datos agregados de Equifax, un investigador de seguridad encontró la base de datos Exactis. Actualmente no hay evidencia de que se haya accedido maliciosamente.
Exatis es un corredor de datos, comerciando con nuestra información personal, que es la forma en que llegaron a estar en posesión de casi 214 millones de personas y 110 millones de datos comerciales. Según WIRED, los registros incluyen “Más de 400 variables en una amplia gama de características específicas: si la persona fuma, su religión, si tiene perros o gatos e intereses tan variados como el buceo y las prendas de talla grande..”
Sin embargo, hay un lado positivo aquí. A pesar de la cantidad fenomenal de datos identificables, a diferencia de Equifax, no tenían información financiera. Sin embargo, si resulta que una parte maliciosa accedió a la base de datos, hay muchas oportunidades para la ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué técnicas de ingeniería social usaría un hacker ¿Y cómo te protegerías de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes.. .
5. Timehop
Usuarios afectados: 21 millones
Datos expuestos: Nombres, direcciones de correo electrónico, fechas de nacimiento, género, códigos de país y números de teléfono.
Nuestra nostalgia colectiva por años pasados se ha convertido en un gran negocio. Ninguna compañía ha podido capitalizar este amor del pasado más que Timehop. La aplicación Timehop se conecta a sus redes sociales y reaparece sus publicaciones anteriores para recordarle lo que estaba haciendo en este día en el pasado. En julio de 2018, Timehop anunció que había interrumpido una intrusión en la red el Día de la Independencia..
A pesar de detener el ataque en poco más de dos horas, el intruso pudo tomar muchos datos. Desafortunadamente, esto incluyó nombres, direcciones de correo electrónico, fechas de nacimiento, género y, en algunos casos, números de teléfono de los 21 millones de usuarios de la aplicación. Sin embargo, pudieron evitar que el atacante obtuviera acceso a publicaciones en redes sociales y mensajes privados.
El atacante logró acceder a las claves OAuth2 almacenadas, que otorgan acceso a las redes sociales conectadas de un usuario. Antes de revelar la violación, Timehop trabajó con las redes sociales para desactivar estas claves, lo que obligó a los usuarios a volver a autenticar las cuentas conectadas.
A diferencia de muchos de sus contemporáneos, su sitio web del incidente se presentó claramente. El ataque se explicó tanto en términos técnicos como directos. Incluso proporcionaron una tabla fácilmente digerible de las combinaciones de datos accedidos y cuántas personas se vieron afectadas. Por supuesto, esto será un pequeño consuelo para los 21 millones de víctimas de la aplicación nostálgica..
Protéjase de la próxima violación de datos
Los servicios que alguna vez pensamos que eran seguros se están deshaciendo rápidamente gracias en parte a sus malas prácticas de seguridad. Incluso puede comenzar a preguntarse si alguna parte de Internet es segura. Especialmente dada la cantidad de veces que la recolección de datos ha expuesto su información personal. Si le preocupa que algo esté mal, debe verificar si sus cuentas en línea han sido pirateadas.
La responsabilidad de protegerlo recae en los pies de las empresas afectadas. Sin embargo, hay formas de mejorar su higiene cibernética Mejore su higiene cibernética en 5 sencillos pasos Mejore su higiene cibernética en 5 sencillos pasos En el mundo digital, la "higiene cibernética" es tan importante como la higiene personal del mundo real. Se necesitan verificaciones regulares del sistema, junto con nuevos hábitos en línea más seguros. Pero, ¿cómo puedes hacer estos cambios? eso fortalecerá tus defensas. Las contraseñas son uno de nuestros mayores dolores de cabeza, pero hay buenas noticias. Es posible que no tenga que esperar mucho más antes de que comencemos a ver alternativas de contraseña interesantes ¿No más fugas? 3 emocionantes alternativas de contraseña que llegarán pronto ¿No más fugas? 3 emocionantes alternativas de contraseña que llegarán pronto La seguridad de la contraseña puede parecer una batalla interminable. Afortunadamente, hay algunos que están trabajando en métodos de seguridad que pueden reemplazar las contraseñas. golpear la corriente principal.