Esta semana hemos conocido los detalles de la enésima filtración de bases de usuarios de aplicaciones. A principios de semana le tocó a Timehop y, conforme pasan los días, el alcance de la filtración se ha ido demostrando peor de lo que inicialmente se explicó. Justo hoy, se ha hecho público el caso Jobandtalent.
Desgraciadamente, las filtraciones de datos de usuarios, con sus cuentas y contraseñas, no son cuestiones anecdóticas sino un grave problema que han afrontado varias aplicaciones a lo largo de la historia, y parece que seguiremos viviendo filtraciones similares en el futuro. Hoy, hemos recopilado los casos más graves de los que tenemos memoria.
Jobandtalent, 10 millones de cuentas
— Rubén del Campo (@rdelcampog) July 11, 2018
Este es el más reciente de los casos de filtraciones que hemos vivido estos días. Los hechos tuvieron lugar el pasado día 5 de julio, cuando los servidores de la empresa fueron atacados por una "plataforma externa y ajena a Jobandtalent" que, según apuntan a través de un correo, obtuvieron información limitada de sus usuarios.
No ha sido hasta una semana después que han contactado a los afectados, aunque aseguran haber solucionado el problema inmediatamente. ¿Qué tipo de datos se filtraron? E-mail, nombre y apellidos, dirección IP y la relación de contraseñas bajo el cifrado usado por sus servidores, los datos de más de 10 millones de usuarios. Dicen haber contactado con la Agencia Española de Protección de Datos para contar con su soporte.
Timehop, 21 millones de cuentas
La aplicación cuyo objetivo es llevarte al pasado a través de recuerdos compartidos en cada una de las cuentas personales de las redes sociales tuvo un descuido muy grave para una empresa que trata con datos tan personales: su servicio no contaba con múltiples factores de autenticación. Sus servidores fueron atacados y, la información que contenían sobre sus usuarios, comprometida.
Aunque Timehop negó que se hubiera accedido a mensajes privados o directos, datos financieros o cualquier contenido de las publicaciones sociales. Los datos extraídos por el fallo de seguridad han afectado a sus 21 millones de usuarios cuyos nombres completos, direcciones de correo electrónico y teléfonos móviles personales han sido expuestos.
Taringa 2017, 28 millones de cuentas
En agosto del año pasado, Taringa anunció que sufrieron un ataque que expuso no solo los datos de sus usuarios sino también el código de su servicio. Con todo ello, los nombres de usuario, correos y contraseñas cifradas fueron comprometidos.
Servicios como LeakBase informaron que habían conseguido una copia de la base de usuarios del conocido como Reddit hispanohablante. ¿Lo peor? Que el cifrado de las contraseñas usaba el protocolo MD5, considerado un protocolo anticuado ya desde 2012. Fácilmente descifrable. A raíz de ello, incluso se elaboró una vergonzosa relación de contraseñas usadas más habitualmente.
AI Type, 31 millones de cuentas
La empresa fundada en 2010 no fue capaz de proteger los datos de más de 31 millones de sus usuarios antes de empezar a cifrar sus versiones más modernas de la aplicación. Mientras tanto, fueron expuestos los datos personales de todos esos usuarios tal y cómo descubrieron empresas de seguridad.
El popular teclado para Android dejó un servidor sin proteger por contraseña y permitió que terceras partes accedieran a datos personales como nombres de usuario, correos electrónicos y otros datos sobre la ubicación y el momento de descarga de la aplicación, a parte de otros datos que estaban desprotegidos y en forma de texto plano.
Uber, 57 millones de cuentas
Le costó, pero Uber acabó confesando, en octubre de 2016 (un mes después del ataque), que su base de usuarios había sido expuesta y por tanto, los datos personales de 57 millones de sus usuarios fueron comprometidos. Su solución también fue poco ortodoxa.
Uber confirmó que había llegado a pagar hasta 100.000 dólares a los hackers responsables del ataque para que borraran la información obtenida y no dijesen nada del asunto a nadie. No les funcionó el acuerdo. La directora ejecutiva de Uber, Dara Khosrowshahi, declaró "Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores".
Tumblr, 65 millones de cuentas
En 2013 la red social Tumblr se vio sacudida por la exposición de millones de cuentas de sus usuarios, con lo que empezaron a enviar mensajes de aviso a todos ellos... tres años después, en mayo de 2016. Aseguraron que no se habían dado cuenta hasta ese momento. Cambiar la contraseña en su servicio fue la única de las recomendaciones.
La empresa no dio cifras exactas en su momento, solo mencionaba el problema como una afectación para "un grupo de direcciones de correo electrónico de usuarios" de la que se dieron cuenta después de haber sido adquiridos por Yahoo. Su análisis no les dio "ninguna razón para pensar que esa información se hubiera usado para acceder a las cuentas personales", lo que en principio no ofrece demasiada confianza.
Dropbox, 68 millones de cuentas
La primera noticia de la filtración de Dropbox saltó en 2012 cuando Dropbox admitió haber sufrido una brecha de seguridad. Nombres de usuario y contraseñas fueron robadas a un número indeterminado de usuarios. El número exacto se mantuvo desconocido hasta 2016, cuando finalmente se descubrió que el problema alcanzaba la cifra de 68 millones de cuentas.
Algunos medios, como Motherboard, accedieron a la lista de archivos que contenían los datos filtrados junto a sus combinaciones de contraseñas. Entonces, sí: Dropbox, en un movimiento habitual, pidió a todos los usuarios que se apuntaron antes de 2012 y que no habían cambiado la contraseña hasta ese momento que lo hicieran entonces para protegerse.
MyFitnessPal, 150 millones de cuentas
A principios de años la empresa Under Armour confirmó que había descubierto que terceras partes llegaron a acceder a sus servidores sin autorización y, como resultado, 150 millones de cuentas de MyFitnessPal fueron expuestas por un agujero de seguridad que se explotó a finales de febrero.
La empresa solo tardó cuatro días en anunciar que había descubierto el agujero de seguridad y, a través de correos electrónicos y notificaciones push de su aplicación, recomendó a sus usuarios que cambiaran sus contraseñas para proteger el acceso a sus cuentas.
LinkedIn, 164 milllones de cuentas
En un caso muy similar al de Dropbox, en 2012 un ataque por parte de hackers abrió las puertas a los servidores de LinkedIn y, dentro, accedieron a los datos de correo electrónico y contraseñas de sus millones de usuarios. Por entonces se hablaba de 6,5 millones de usuarios afectados, pero estaban ocultando una cifra mucho mayor: 164 millones, para ser precisos.
No se tuvo constancia del dato real de afectados hasta 2016. Cuatro años más tarde, se descubrió que los usuarios y contraseñas filtradas estaban a la venta por 5 bitcoins en el mercado oscuro de la conocida como Deep Web, el internet que hay más allá de los resultados de Google.
Yahoo, 3.000 millones de cuentas
En 2013 tuvo lugar la mayor filtración de datos de usuarios de la historia de las aplicaciones. Ocurrió en los servidores de Yahoo en un ataque de hackers que usaron técnicas de ingeniería social combinadas con phishing para poder engañar a un solo trabajador de la empresa.
A través de ese trabajador de Yahoo y sus credenciales con privilegios de acceso a sistemas vitales de la empresa, los hackers lograron colarse en los servidores. Como una ficha de dominó, toda la base de usuarios de una gran compañía cedió ante el engaño perpetrado a uno de sus responsables. En ese momento se apuntó a la inteligencia rusa como responsable del ataque.
Entonces se hablaba de una tercera parte de los usuarios afectados, que pasó a ser 500 millones en 2014 y 1.000 millones poco después. En octubre pasado, Oath, la empresa que aglutina Yahoo hoy en día después de haber sido comprada por Verizon, confirmó que todos sus usuarios fueron afectados por la brecha de seguridad: 3.000 millones de usuarios.
El pack de filtraciones
Esta filtración es especial. A mediados de 2016 se descubrió que alguien se había dedicado a juntar una base de datos con los nombres de usuario y contraseñas de todas las filtraciones anteriores: 560 millones de cuentas. El archivo estuvo circulando por la red durante años y, finalmente, algunos medios se hicieron eco de ello.
Lo explicó también Troy Hunt, el creador del famoso servicio Have I Been Pwned, una de las mejores opciones para estar al corriente de todas las filtraciones de datos de usuario que se hayan filtrado. Con el servicio es más fácil saber si nuestras cuentas forman parte de la lista y, por tanto, debemos tomar acciones para protegernos.
En Xataka Basics | Cómo saber si tus contraseñas se han filtrado en Internet
Ver 1 comentarios