5 violaciones recientes de datos que pueden haber puesto en riesgo sus datos
Las violaciones de datos son parte del mobiliario de nuestras vidas digitales. Apenas pasa un día sin que otra empresa filtre sus datos. Y mientras estos eventos se están volviendo más comunes, algo más también cambió en 2018.
La implementación del Reglamento general de protección de datos (GDPR) de la UE significa que las empresas ahora se comprometen a revelar cualquier incumplimiento dentro de las 72 horas. Puede ser difícil mantenerse al día con los últimos trucos, por lo que hemos redondeado algunas de las brechas más notables del año.
1. Bajo la armadura
Usuarios afectados: 150 millones
Datos expuestos: Nombres de usuario, direcciones de correo electrónico y contraseñas de hash
Para muchas personas en todo el mundo, la aplicación de seguimiento de la dieta y el ejercicio MyFitnessPal (MFP) es un compañero diario en su viaje físico. Así que no fue una sorpresa cuando la compañía de ropa deportiva Under Armour adquirió MFP como parte de su oferta digital. En marzo de 2018, Under Armour (UA) publicó una declaración de que MyFitnessPal había sido comprometida, con los nombres de usuario, las direcciones de correo electrónico y las contraseñas de hash de los 150 millones de usuarios de la aplicación expuestos..
La empresa actuó rápidamente. A los cuatro días de conocer la violación, MyFitnessPal envió una actualización por correo electrónico a todos los usuarios y creó un sitio web de preguntas frecuentes. Recomendaron que todos los usuarios cambien inmediatamente sus contraseñas y que continúen haciéndolo, de forma algo vaga., “realizar mejoras en [sus] sistemas para detectar y prevenir el acceso no autorizado a la información del usuario.”
En la superficie, parece que Under Armour estaba haciendo lo correcto por sus usuarios. Sin embargo, mientras que algunas contraseñas se procesaron mediante el uso de bcrypt, un proceso para transformar su contraseña en una cadena de caracteres ilegible. Cada sitio web seguro lo hace con su contraseña. Todo sitio web seguro lo hace con su contraseña. infracciones? Leer más - otros no tuvieron tanta suerte. Aunque no revelaron los números, una parte de la base de usuarios de MFP solo estaba protegida con SHA-1, considerada como la forma más débil de hashing..
Aunque la filtración ocurrió a principios de año, a partir de septiembre de 2018, no se habían realizado más actualizaciones sobre la causa de la violación, ni sobre cómo UA espera prevenir ataques futuros. La compañía tampoco ha detallado si continuarán utilizando el hash SHA-1..
2. British Airways
Usuarios afectados: Desconocido
Datos expuestos: Datos personales y financieros del cliente.
Cuando el verano se acercaba a su fin a principios de septiembre, la aerolínea más grande del Reino Unido, British Airways (BA), dijo que estaban investigando con urgencia el robo de información de los clientes. En su sitio web de información de incidentes, la compañía dijo que el robo afectado “clientes que hicieron reservas o cambios en sus reservas […] entre las 22:58 BST del 21 de agosto de 2018 y las 21:45 BST del 5 de septiembre de 2018.” Los datos robados incluyen nombres, dirección de correo electrónico, dirección de facturación y detalles de la tarjeta bancaria.
Si usted estuvo entre las víctimas desafortunadas del ataque, BA ha prometido que no saldrá de su bolsillo como resultado directo del robo. Sin embargo, vale la pena señalar que no han dicho lo que consideran un “resultado directo.” En los días posteriores a la divulgación, The Register informó que un script de pago externo podría haber sido el culpable del ataque. La firma de seguridad RiskIQ dijo que el ataque probablemente fue llevado a cabo por un grupo conocido como Magecart, que fue responsable de un ataque muy similar en Ticketmaster a principios de 2018..
Poco más de un año antes del ataque, BA también se encontraba en el centro de una falla masiva de alimentación de la computadora. La falla llevó a los sistemas informáticos de la empresa a un frenazo, aterrizando todos los aviones y afectando a miles de pasajeros. A pesar de aparecer en los titulares de todo el mundo, BA ha dicho poco sobre la causa de la interrupción sin precedentes..
3. TypeForm
Usuarios afectados: Desconocido
Datos expuestos: Datos de la encuesta incluyendo información de identificación personal
Si ha completado una encuesta en línea en los últimos años, es probable que haya utilizado el sitio web de recopilación de datos Typeform. Sus encuestas son populares entre las empresas, ya que son fáciles de configurar y fáciles de usar. Los clientes de Typeform son empresas, no usuarios finales. Entonces, cuando la compañía descubrió una brecha en junio de 2018, alertaron a sus clientes..
El sitio de respuesta a incidentes de Typeform carece de detalles y se centra en cómo las empresas deben informar a los clientes sobre la divulgación. Todo lo que sabemos del incumplimiento de Typeform es que fue el resultado de un acceso no autorizado a una copia de seguridad parcial con fecha del 3 de mayo de 2018. Aunque no está claro a qué distancia se extienden esos datos. Como Typeform eligió no proporcionar un desglose detallado, el número total afectado tampoco está claro.
Sin embargo, la lista de organizaciones atrapadas en la violación es bastante extensa. Los minoristas británicos Fortnum & Mason y John Lewis se encontraban entre los afectados, junto con la cadena de panadería australiana Bakers Delight. Otras víctimas conocidas son Airtasker, Rencore, PostShift, Revolut, Middlesex University Student Union, Monzo, la Comisión Electoral de Tasmania, Travelodge y los Liberales Demócratas del Reino Unido.
4. Exactis
Usuarios afectados: 340 millones
Datos expuestos: Todo lo imaginable, menos los números de seguridad social y de tarjetas de crédito.
En nuestra economía moderna, intercambiamos nuestros datos a cambio de productos y servicios en línea gratuitos. Sin embargo, hay un movimiento creciente contra este tipo de recopilación de datos. Se refieren despectivamente a la práctica como capitalismo de vigilancia. Este sentimiento se ha vuelto aún más popular después del hackeo Equifax Equihax de 2017: una de las infracciones más calamitosas de todos los tiempos Equihax: una de las infracciones más calamitosas de todos los tiempos todo el tiempo. ¿Pero sabes todos los hechos? ¿Has sido afectado? ¿Qué puedes hacer al respecto? Descúbrelo aquí. Lea más y el escándalo de Cambridge Analytica en Facebook aborda el escándalo de Cambridge Analytica. Facebook aborda el escándalo de Cambridge Analytica. Facebook se ha visto envuelto en lo que se conoce como el escándalo de Cambridge Analytica. Después de permanecer en silencio durante unos días, Mark Zuckerberg ha abordado los problemas planteados. Lee mas . Probablemente te sorprendió que Equifax hubiera estado recolectando información detallada sobre ti a tus espaldas. Lamentablemente, no te sorprenderás al saber que no fueron los únicos..
En junio, el investigador de seguridad Vinny Troia usó el motor de búsqueda por computadora Shodan para descubrir una base de datos que contenía 340 millones de registros. La base de datos se dejó sin garantía en un servidor disponible públicamente por la empresa de marketing Exactis. Mientras que los 145.5 millones de registros del hackeo de Equifax recibieron una amplia cobertura, la base de datos Exactis eclipsó eso en 340 millones de registros. Sin embargo, a diferencia de los datos agregados de Equifax, un investigador de seguridad encontró la base de datos Exactis. Actualmente no hay evidencia de que se haya accedido maliciosamente..
Exatis es un intermediario de datos que comercializa nuestra información personal, que es la forma en que llegaron a poseer casi 214 millones de personas y 110 millones de datos de empresas. Según WIRED, los registros incluidos “más de 400 variables en una amplia gama de características específicas: si la persona fuma, su religión, si tienen perros o gatos, e intereses tan variados como el buceo y la ropa de talla grande.”
Sin embargo, hay un lado positivo aquí. A pesar de la cantidad fenomenal de datos identificables, a diferencia de Equifax, no tenían información financiera. Sin embargo, si resulta que una parte malintencionada accedió a la base de datos, hay muchas oportunidades para la ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social ¿Qué técnicas de ingeniería social utilizaría un pirata informático? ¿Y cómo te protegerías de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes. Lee mas .
5. Timehop
Usuarios afectados: 21 millones
Datos expuestos: Nombres, direcciones de correo electrónico, fechas de nacimiento, sexo, códigos de país y números de teléfono
Nuestra nostalgia colectiva por los años pasados se ha convertido en un gran negocio. Ninguna compañía ha podido capitalizar este amor del pasado más que Timehop. La aplicación Timehop se conecta a tus redes sociales y vuelve a aparecer tus publicaciones anteriores para recordarte lo que estabas haciendo en el pasado. En julio de 2018, Timehop anunció que había interrumpido una intrusión en la red en el Día de la Independencia..
A pesar de detener el ataque en poco más de dos horas, el intruso pudo tomar una gran cantidad de datos. Desafortunadamente, esto incluía nombres, direcciones de correo electrónico, fechas de nacimiento, sexo y, en algunos casos, números de teléfono de los 21 millones de usuarios de la aplicación. Sin embargo, pudieron evitar que el atacante obtuviera acceso a publicaciones de redes sociales y mensajes privados..
El atacante logró acceder a las claves OAuth2 almacenadas, que otorgan acceso a las redes sociales conectadas de un usuario. Antes de revelar la violación, Timehop trabajó con las redes sociales para desactivar estas claves, lo que obligó a los usuarios a volver a autenticar las cuentas conectadas..
A diferencia de muchos de sus contemporáneos, su sitio web del incidente fue presentado claramente. El ataque fue explicado tanto en términos técnicos como directos. Incluso proporcionaron una tabla fácilmente digerible de las combinaciones de datos accedidos y de cuántas personas se vieron afectadas. Por supuesto, esto será un poco de consuelo para los 21 millones de víctimas de la aplicación nostálgica..
Protéjase de la próxima violación de datos
Los servicios que una vez pensamos que eran seguros se están desmoronando rápidamente gracias en parte a sus malas prácticas de seguridad. Incluso puede comenzar a preguntarse si en algún lugar de Internet es seguro. Especialmente teniendo en cuenta cuántas veces la recolección de datos ha expuesto su información personal. Si le preocupa que algo ande mal, debería verificar si sus cuentas en línea han sido hackeadas.
La responsabilidad de protegerlo cae a los pies de las empresas afectadas. Sin embargo, hay maneras de mejorar su higiene cibernética. Mejorar su higiene cibernética en 5 pasos sencillos. Mejorar su higiene cibernética en 5 pasos sencillos. En el mundo digital, la "higiene cibernética" es tan importante como la higiene personal del mundo real. Se necesitan controles regulares del sistema, junto con nuevos hábitos en línea más seguros. ¿Pero cómo puedes hacer estos cambios? Leer más que fortalecerá sus defensas. Las contraseñas son uno de nuestros mayores dolores de cabeza, pero hay buenas noticias. Es posible que no tenga que esperar mucho más tiempo antes de que empecemos a ver alternativas de contraseña interesantes ¿No hay más fugas? 3 Alternativas de contraseña emocionantes que vienen pronto ¿No hay más fugas? 3 emocionantes alternativas de contraseña que están por venir La seguridad de la contraseña puede sentirse como una batalla interminable. Afortunadamente, hay algunos que están trabajando en métodos de seguridad que pueden reemplazar las contraseñas. Leer más golpear la corriente principal.
Crédito de la imagen: stevanovicigor / DepositPhotos
Explorar más sobre: Violación de seguridad.