Formspring, la red social de preguntas y respuestas, ha sido víctima de un ataque informático que trajo como consecuencia, la fuga masiva de al menos 420.000 contraseñas. Como medida preventiva, la empresa anunció que los 28 millones de usuarios que posee la red social en su totalidad, deberán cambiar obligadamente la contraseña de acceso al momento de ingresar a sus respectivas cuentas. En su blog oficial, Formspring anunció que “Esta mañana hemos detectado una fuga de información en la que pudieron haber sido expuestas algunas contraseñas de cuentas. Frente a esto, hemos desactivado todas las contraseñas de los usuarios. Preferimos evitar una situación peor solicitándole a la totalidad de las personas que restablezcan sus contraseñas al momento de ingresar en sus cuentas…”.
Aparentemente, la fuga de información se habría originado en primera instancia, en algunos servidores de desarrollo de la compañía. Luego, utilizando ese punto de acceso vulnerado, los atacantes lograron acceder a una base de datos de producción de donde habrían robado las 420.000 contraseñas. Frente a dicha situación, Formspring asegura haber resuelto la vulnerabilidad que permitió el acceso de terceros a esta información. También afirman haber actualizado el método de hashing de SHA-256 con granos de sal a bcrypt. Asimismo, los responsables de la red social expresaron haber tomado el tema con mucha seriedad con el fin de evitar que en un futuro, se produzca una situación similar.
Desafortunadamente, se han producido varios eventos similares en donde se filtra información sensible como las contraseñas. Recientemente, Yahoo! ha sido víctima a través de su servicio Yahoo! Voices, de una brecha de seguridad que produjo el robo de al menos 453.000 cuentas de usuarios. Además, se sospecha que los responsables de este ataque podrían haber obtenido otro tipo de información. Sumado a estos dos casos, Sebastián Guerrero, un investigador de seguridad de origen español, descubrió una vulnerabilidad en Instagram, popular aplicación móvil adquirida por Facebook y que les permite a los usuarios, editar fotografías y compartirlas con los demás. La vulnerabilidad aunque ya resuelta por la empresa, pudo haber expuesto las fotografías y otra información a terceros.
Frente a este tipo de situaciones, es importante recordarles a todos los usuarios que utilizar una misma contraseña para varios servicios no solo es riesgoso en este tipo de situaciones, sino que en cualquiera donde un atacante pueda obtener la clave y de ese modo, acceder a todos los sitios en donde la víctima utilice las mismas credenciales de acceso. Además de utilizar una contraseña distinta para cada servicio, recomendamos implementar una clave segura y actualizar todas las aplicaciones regularmente, incluso aquellas mobile como Instagram.
André Goujon
Especialista de Awareness & Research