LinkedIn fue pirateado en 2012 con consecuencias de largo alcance. Cuatro años después del incidente de la semana pasada, 117 millones de hashes de contraseñas aparecieron bajo tierra. ¿Qué daño provoca la falta de comunicación y los algoritmos criptográficos mal implementados? ¿Qué puede hacer usted como usuario en tales casos? Te lo diremos.
Los sitios web son pirateados casi todos los días. No es raro, pero siempre hay algunos robos especiales. Hace cuatro años, 6,5 millones de contraseñas cifradas de la red empresarial de LinkedIn aparecieron de la nada en foros clandestinos especializados. Se han descifrado numerosas contraseñas en muy poco tiempo. LinkedIn ha sido muy informal sobre el cifrado de contraseñas.
La lista no incluía nombres de usuario ni direcciones de correo electrónico, aunque es posible que los piratas informáticos tuvieran esa información. LinkedIn no informó adecuadamente a sus clientes sobre el incidente, sino que minimizó el problema. Solo se habló de algunos accesos afectados y reaccionarían en consecuencia.
Dos semanas después, el usuario presentó una demanda colectiva en los EE. UU., alegando que «LinkedIn expone la integridad de los datos confidenciales del usuario a riesgos significativos». Desde la semana pasada, el usuario «Peace» ha estado ofreciendo cerca de 117 millones de contraseñas de LinkedIn para vender clandestinamente por 5 bitcoins (unos 2.000 euros).
Es muy probable que los datos hayan sido pirateados en 2012. Dos tercios ya han sido pirateados en dos horas, y en este momento es probable que sea más del 80 por ciento. El blog de seguridad de KoreLogic incluso reporta 177,500,189 hashes de contraseñas. Así que de nuevo, mucho más de lo que se sabía anteriormente. Desde entonces, LinkedIn ha autenticado los datos y ha anunciado contramedidas.
LinkedIn ha fallado en el cifrado y la comunicación
Entonces, ¿está todo bien? ¡Para nada! LinkedIn cometió varios errores tanto antes como después del hackeo. Se basan en el algoritmo de cifrado SHA-1 obsoleto e inseguro para cifrar las contraseñas de los usuarios. Las primeras fallas se descubrieron en 2005, y ese mismo año, el NIST (Instituto Nacional de Estándares y Tecnología) recomendó pasar a la familia SHA-2. Según esto, LinkedIn 2012 definitivamente no debería haberse basado en SHA-1. Otro error negligente fue que no filtraron las contraseñas antes de cifrarlas.
La contraseña se cifra con una cadena aleatoria de caracteres. Esto se hace para que el descifrado inverso sea más difícil o incluso imposible. De hecho, LinkedIn podría prescindir del cifrado, porque «123456» sería tan seguro como «T`Q!qPc9([~mGiwx[~mGiwx[~mGiwx[~mGiwx
La comunicación es lo más importante.
Cuando los hackers publicaron la primera lista en 2012, al principio hubo confusión. ¿Los datos eran genuinos y, de ser así, cómo se robaron? Aunque LinkedIn confirmó la autenticidad de las contraseñas robadas, no notificó a sus usuarios sobre el hackeo. Hasta el día de hoy, nadie sabe exactamente qué sucedió hace cuatro años.
- ¿Qué datos fueron robados?
- ¿Cómo te hackearon?
- ¿Cómo se cifraron las contraseñas?
- ¿Cuántos discos fueron robados?
- Etc.
Es esta información la que es extremadamente importante para los usuarios después de un incidente de este tipo. Como informó LinkedIn, es poco probable que alguno de los usuarios realmente entendiera qué hacer ahora. Parece que se han restablecido las contraseñas de al menos 6,5 millones de cuentas afectadas. Pero esto realmente no es suficiente. Porque surge la pregunta con razón: ¿Cuál fue el alcance del robo? Por lo tanto, sería más inteligente restablecer todas las contraseñas. Solo unos pocos usuarios cambiaron posteriormente sus contraseñas, como confirma el propio LinkedIn. Además, muchos suelen utilizar las mismas contraseñas para diferentes inicios de sesión y, a veces, incluso inseguros.
El comportamiento de LinkedIn está lejos de ser único: el hackeo de eBay hace dos años no fue diferente. Es por eso que «eliminé» mi cuenta en ese momento y recibí un buen correo electrónico no deseado hace unas semanas, incluido un troyano adjunto. Ambos robos tienen consecuencias de gran alcance incluso años después de los incidentes reales.
Los clientes de eBay deben saber que su información personal puede ser mal utilizada y que pueden recibir una cantidad cada vez mayor de correo electrónico no deseado malicioso. Los usuarios de LinkedIn, por otro lado, deben ser conscientes de que sus cuentas pueden estar potencialmente en riesgo. Así que cambie sus contraseñas rápidamente.
Buenos ejemplos de Buffer y Bitly
Pero también hay ejemplos positivos. La cosa es que cada truco duele. Pero el truco es comunicarse claramente con sus usuarios en tales casos y actuar rápidamente. El servicio de enlace corto Bitly fue pirateado en 2014. Los atacantes robaron direcciones de correo electrónico, contraseñas cifradas, claves de API y tokens de OAuth. Beatley respondió rápida y ejemplarmente. Como medida de precaución, desconectaron todas las cuentas de las redes sociales conectadas y restablecieron las contraseñas de todos los usuarios. Además, los usuarios deben generar nuevas claves API y volver a conectarse a las redes sociales. Las acciones lograron evitar daños importantes y, al mismo tiempo, reconstruyeron una base de confianza para Bitly.
El servicio de programación de redes sociales Buffer también fue pirateado en 2013. Los atacantes lograron usar el servicio para enviar spam en Twitter y Facebook. Los atacantes robaron tokens de acceso que se utilizan para publicar en perfiles autorizados de Facebook y Twitter de un proveedor de base de datos utilizado por Buffer. El búfer no pudo cifrar estos tokens. En una hora, el equipo de Buffer tomó las medidas necesarias para controlar el ataque de spam.
Al mismo tiempo, el público fue plenamente informado sobre el incidente. Solo en Twitter, el equipo respondió a aproximadamente 6000 tuits relacionados con el hackeo. A pesar de todo el enfado, la comunidad amortiguadora reaccionó positivamente. Pero empeoró, dos días después del ataque, Buffer registró hasta 3000 nuevos registros. Aquí realmente puedes decir que Buffer convirtió el súper colapso en un verdadero final feliz. Así es como puede ir.
¡Guía gratuita de LinkedIn!
Suscríbase ahora a nuestro boletín semanal compacto de BT. Como agradecimiento, te damos nuestra guía de LinkedIn.
Así es como te proteges de tales ataques de piratas informáticos.
Puede hacer una gran contribución a la seguridad de su cuenta siguiendo solo unas pocas reglas simples. Sin embargo, no quiero decir que el usuario sea más responsable que el proveedor. No, en cualquier caso, el proveedor debe crear un entorno seguro y solo después de eso es tu turno.
- Use una contraseña separada para cada inicio de sesión
- Sus contraseñas deben tener al menos 8-12 caracteres y contener letras minúsculas, letras mayúsculas, números y caracteres especiales.
- Cuanto más importante sea el servicio, más a menudo deberá cambiar sus contraseñas a intervalos regulares.
- Su contraseña no debe contener palabras relacionadas, fechas de nacimiento o información personal.
- Guarde su información de inicio de sesión en un lugar seguro, como en su cabeza o en una bóveda de contraseñas segura.
Si sigue estos simples consejos, estará más seguro y será menos probable que sufra daños graves la próxima vez que sea pirateado. Sin embargo, esto no debe tomarse a la ligera, ya que, además de los datos de acceso, a menudo se pueden robar datos de direcciones, datos de cuentas u otra información personal. Aquí, lamentablemente, depende del operador del sitio.
→ Más consejos para mantener seguros sus perfiles en línea.