El sitio de compra y venta por internet eBay enfrenta cuestionamientos sobre su respuesta al ataque informático que expuso claves y otros datos de millones de usuarios en todo el mundo. Una aplicación obligando a los miembros a cambiar sus contraseñas cuando ingresaran al sitio no está disponible aún, aunque la empresa había prometido utilizar este mecanismo como una de las respuestas a la violación de la seguridad que sufrió entre finales de febrero y principios de marzo.
Contenido relacionado eBay urge a los usuarios a cambiar las contraseñas
En su lugar, el sitio agregó una advertencia en su página principal en la que simplemente recomienda cambiar sus claves.
Expertos en seguridad han dicho que esta reacción genera "serias preguntas". "Nuestra primera prioridad es y siempre ha sido proteger la información de nuestros usuarios y asegurar que estamos a la altura de esta clase de situaciones genera, por eso le pedimos como primer paso a los usuarios que cambiaran sus contraseñas"
eBay
"Sabemos que los clientes están preocupados y queremos arreglar esta situación lo antes posible, y estamos trabajando para eso", le dijo eBay a la BBC.
"Nuestra prioridad es y siempre ha sido proteger la información de nuestros usuarios y asegurar que estamos a la altura que esta clase de situaciones genera, por eso le pedimos como primer paso a los usuarios que cambiaran sus contraseñas", añadió la compañía estadounidense y concluyó: "Otros pasos seguirán, como notificaciones de correos electrónicos, y nos aseguraremos que todos los usuarios de eBay hayan cambiado sus claves en los próximos días". Pero muchos usuarios expresaron su frustración ante lo que ellos consideran una lenta respuesta de la empresa. "Me pregunto por qué estoy enterándome esto por la BBC antes que eBay me lo diga", escribió un lector en el sitio de internet de la BBC.
Credenciales robadas Alan Woodward, un consultor de seguridad cibernética independiente, también se mostró poco impresionado por la reacción del sitio web.
"No debería llevar tanto tiempo colocar algo que fuerce a los usuarios a cambiar sus claves, y deberían haber informado a la gente de lo que estaba ocurriendo, por favor, no lleva mucho tiempo enviar un correo electrónico". La compañía con sede en California, que cuenta con 128 millones de usuarios, ha informado que los piratas informáticos accedieron a una base de datos que contenía contraseñas cifradas y otros datos, tras obtener credenciales de acceso de algunos empleados.
"Un tema común en muchos de estos ataques es que involucran a cibercriminales buscando activamente cómo acceder a cuentas internas, especialmente de usuarios privilegiados como administradores de cuentas informáticas, para infiltrarse en los sistemas utilizando sus credenciales" Paul Ayers, vicepresidente de Vormetric La otra información vulnerada incluía direcciones de correos electrónicos, direcciones fijas, números de teléfonos y fechas de cumpleaños.
La empresa dijo que la información de su sistema de transferencia de dinero, PayPal, estaba almacenada por separado y no fue vulnerada. Datos cifrados La industria de seguridad cibernética ha expresado sus críticas al hecho de que los números de teléfono, las direcciones y las fechas de cumpleaños no estuvieran cifradas.
"Nosotros tenemos diferentes niveles de seguridad basados en los diferentes tipos de información que tenemos almacenados y toda la información financiera en todas nuestras operaciones está cifrada", respondió eBay a la BBC. "Tampoco tenemos indicios de un incremento de actividad fraudulenta en nuestro sitio o de que el cifrado de las contraseñas haya sido roto".
Pero Illia Kolochenko, jefe ejecutivo de la firma de seguridad High-Tech Bridge, piensa que es muy probable que este cifrado haya sido vulnerado.
"Más del 90% de los códigos cifrados puede ser forzados en 48 horas", señaló. Joyas de la corona Pirata informático La información obtenida por los piratas en eBay puede serles útil para vulnerar otros sitios.
Por su parte, Paul Ayers, vicepresidente de la firma de seguridad Vormetric, añadió que las grandes compañías necesitan pensar seriamente cómo prevenir que las cuentas de su personal sean vulneradas, como ocurrió en el caso de eBay. "Un tema común en muchos de estos ataques es que involucran a cibercriminales buscando activamente cómo acceder a cuentas internas, especialmente de usuarios privilegiados como administradores de cuentas informáticas, para infiltrarse en los sistemas utilizando sus credenciales".
Woodward añadió que si se confirma que la base de datos fue vulnerada utilizando solo nombres de usuarios y claves del personal, eso sugeriría que "eBay no está valorando nuestra información personal tanto como debería". "Las joyas de la corona de una firma deberían ser protegidas por una autentificación de dos factores", añadió. Una autentificación de esta naturaleza requiere más de una contraseña, por ejemplo, un código PIN enviado a un teléfono inteligente.
"Uno de los aspectos que nos deja un poco preocupados es que los piratas informáticos tienen una prolija y linda lista de información personal que puede ser usada para robar identidades o incluso ayudarlos a vulnerar otros sitios a través de fraudes de reinicio de claves", conluyó Woodward.
No hay comentarios:
Publicar un comentario