eHarmony se une a LinkedIn como víctima de robo de contraseñas
Un grupo de hackers rusos publicó esta semana una enorme lista de passwords y el miércoles investigadores de seguridad identificaron la fuente: la red social de contactos de trabajo LinkedIn.
LinkedIn confirmó en una publicación en un blog que algunas de las claves robadas corresponden a cuentas de sus usuarios .
La empresa no dio mayor información acerca de que las contraseñas fueron robadas o la magnitud de los daños, pero dijeron que "continuarían investigando" el asunto.
El sitio de citas eHarmony también anunció este miércoles que algunas de las claves de sus usuarios fueron robadas en el ataque.
Los 6.5 millones de contraseñas filtradas fueron publicadas este lunes en un foro en línea ruso, camufladas por un código criptográfico muy común llamado hash SHA-1, un formato considerado débil si no se toman precauciones adicionales. La mitad de esas contraseñas ya fueron decodificadas y publicadas en internet.
Varios expertos en seguridad tuitearon el miércoles que encontraron sus contraseñas entre las filtradas y, según la firma de seguridad digital Sophos, coinciden con contraseñas utilizadas exclusivamente en LinkedIn.
Incontables claves de acceso en la lista contienen la palabra ‘linkedin’. En un popular foro de hackers , se reportó que había muchas claves tipo: linkedout, recruiter, googlerecruiter, toprecruiter, superrecruiter, humanresources y hiring. Todas ellas en inglés son términos relacionados con contratación, como reclutador, superrecutador, recursos humanos.
Hay buenas y malas noticias sobre este allanamiento.
Las buenas noticias hasta ahora: no se han detectado nombres de usuarios en la lista. Se recomienda ampliamente que cambien sus claves, después de eso no debe haber problema.
Las malas noticias: LinkedIn estaba usando un criptógrafo bastante antiguo para resguardar la información de los usuarios. La empresa debería saber que para resguardar la información hace falta algo más que el SHA-1, de acuerdo con los expertos.
El problema con SHA-1 es que traduce el mismo texto de la misma forma cada vez. Así que si tu contraseña es ‘contraseña’, y la de tus amigos también es ‘contraseña’, éstas se grabaran con el mismo numeral. Eso hace que el proceso reversivo para dar con el password original sea mucho más sencillo.
Es por eso que los expertos en seguridad recomiendan a las compañías que poseen enormes listas de datos, como LinkedIn, que añadan otra capa de seguridad llamada 'salt'.
'Salt' añade aleatoriamente otro tipo de información a la clave, lo que podría ser un nombre de usuario, el nombre de pila, o incluso un número al azar, el punto es que cambia el texto fundamental lo suficiente como para que sea casi imposible decodificarlo.
“Cualquier organización que use SHA-1 sin añadir salt a las claves de los usuarios corre un gran riesgo, mucho más grande de lo que debería”, dijo Per Thorsheim, jefe asesor de seguridad de la información en EVRY, una firma noruega de tecnología.
“Hemos visto una y otra vez. No es una práctica sana. 'Salt' debería de ser lo mínimo a usarse”.
En su publicación en el blog, LinkedIn dijo que recientemente colocaron medidas de seguridad reforzadas, “que incluyen a las funciones resumen y utilizar 'salt' sobre nuestras bases de datos de contraseñas”.
Un vocero declinó comentar cuán recientemente se puso en función ese tipo de seguridad.
EHarmony publicó que ellos utilizan “fuertes medidas de seguridad”, pero que estás no incluían el uso de 'salt' en sus protecciones.
La potencialmente peor noticia es que mucho más de 6.5 millones de claves de usuarios fueron robadas realmente. Este dato es engañoso: Cada clave que se encuentra en la lista de las robadas es única, de acuerdo con quienes han revisado la información. SHA-1 codifica todas las contraseñas idénticas de la misma manera, pero es muy probable que muchas personas entre los 150 millones de usuarios de LinkedIn tengan la misma clave. Eso multiplicaría cada contraseña por tantas veces como usuarios la hayan repetido.
Lo realmente malo es que no se conoce la identidad de los hackers ni de lo que realmente son capaces de hacer.
Si solamente se robaron un montón de passwords sin forma alguna de empatarlos con nombres de usuarios, esto es una llamada de atención para LinkedIn, pero no pasa de ahí. Pero el ataque vino de Rusia, un país conocido por sus expertos y maliciosos hackers. Podría haber más consecuencias.
“Si quienes hicieron esto son idiotas al azar, las posibilidades son pocas de que pudieran explotar esta situación a tal grado que dañen a LinkedIn, a ti o a mí”, dijo Thorsheim. “Pero si se trata del crimen organizado, y esos sujetos actúan en serio, entonces el potencial del daño es enorme”.
El robo de claves es la segunda mala noticia sobre seguridad que le pega a LinkedIn esta semana. También se dio a conocer que la aplicación para dispositivos móviles de la empresa recolecta información de los usuarios y sus calendarios y los envía a la empresa para que se analice. La herramienta compara los datos de los perfiles del sitio web con la información sobre aquellas personas con quienes los usuarios habían agendado un evento o cita.
LinkedIn respondió a esto a través de una publicación en su blog diciendo que la aplicación primero solicita la autorización de usuario, y agregó que será más transparente en su manera de recolectar y analizar información personal del usuario.