El ataque a Gawker: cómo se dejaron robar un millón de contraseñas de usuarios

Las contraseñas son como los calzoncillos. Por Richard Parmiter, en Flickr (2505803867) con licencia CC by-nc-ndJoseph Bonneau publica en Light Blue Touchpaper una concisa descripción de los errores de seguridad que permitieron el robo de todos los datos de los usuarios de los blogs de Gawker Media. Que nadie espere complejas técnicas de infiltración informática: como tantas otras veces, el origen de todo estuvo en contraseñas simplonas y fáciles de adivinar.

En mayor o menor medida, antes o después, todos hemos usado alguna vez contraseñas fáciles de adivinar. Sin embargo, mi inocente confianza en el ser humano me hace pensar que esto no ocurre tan a menudo entre profesionales que tienen a su cargo los datos de millones de clientes. Pues no es así.

El resumen de los despropósitos de seguridad en Gawker (y alrededores) usados para robar toda su base de datos y el código fuente de sus sitios web, según el citado blog de la Universidad de Cambridge:

  1. Los empleados de Gawker a través de cuyas cuentas se accedió a los datos usaban contraseñas simples y previsibles, fáciles de adivinar mediante ataques de diccionario.
  2. El servicio de colaboración en proyectos que usan, Campfire, no impide los ataques de diccionario a las contraseñas de acceso, al no limitar el número de intentos fallidos de login.
  3. Los empleados de Gawker afectados usaban la misma contraseña en Campfire y en otros servicios, como su cuenta corporativa de correo electrónico.
  4. Confiados en la privacidad de su actividad en Campfire, los empleados de Gawker compartían allí en claro datos de acceso a los servidores de la empresa, sin preocupación alguna.
  5. Los servidores de Gawker parecían no estar actualizados con los últimos parches, aunque no tengo claro que esto facilitara el ataque.
  6. Los esfuerzos criptográficos por proteger las contraseñas del millón y medio de usuarios de los blogs de Gawker eran obsoletos e insuficientes.

En resumen: nada que no se pueda evitar con concienciación, una buena política de contraseñas y énfasis en la gestión de la configuración y la gestión de parches. Una pena, vamos.

Tags:

Artículos relacionados

0 comentarios

    Deja un comentario





    Trackbacks

    1. Bitacoras.com
    More in Informática y tecnología (14 of 127 articles)


    A ningún falsificador se le ocurriría fabricarse sus propias monedas de 2 céntimos de euro, pero sí sus propios billetes ...