En un comunicado publicado el viernes 25 de enero, Dailymotion emitió un comunicado en el que dijo haber sido víctima de un ataque de credential stuffing de gran escala que tenía como objetivo robar datos de los usuarios. Al momento de emitir el comunicado, la compañía señaló que el intento de ataque aún persiste, aunque también aseguró ha sido controlado de manera satisfactoria.
“Credential stuffing” es un tipo de ataque en el que de manera automatizada los atacantes prueban pares de nombres de usuario y contraseñas extraídas de alguna filtración con el fin de obtener acceso a una cuenta.
Los usuarios que se vieron afectados por este ataque ya fueron contactados por la compañía, que a su vez brindó soporte personalizado. Según publicó ZDNet, quien tuvo acceso a correos enviados a clientes que se vieron afectados, el ataque en algunos casos parece haber sido exitoso y los atacantes obtuvieron acceso a cierta cantidad de cuentas.
En dicho correo, Dailymotion envía un enlace para que los usuarios puedan cambiar sus contraseñas y recuperar el control de sus cuentas.
De acuerdo a un reporte publicado en 2018 por Shape Security, entre el 80% y el 90% de intentos de acceso a servicios de retail online están relacionados con ataques de “credential stuffing”.
Este ataque sufrido por la plataforma de video más utilizada después de YouTube y Vimeo, con 100 millones de visitas mensuales, se da casualmente en el mismo mes que se conoció la filtración de 773 millones de direcciones de correo y 21 millones de contraseñas. Por suerte para los usuarios, la información de esta extensa lista denominada Collection #1 fue cargada al sitio Have I Been Pwned, donde las personas pueden consultar si tanto su dirección de correo como su contraseña forma parte de esta u otras brechas en las que se filtraron nombres de usuarios y contraseñas.
Para evitar ser víctima de estos incidentes de seguridad que afectan a servicios que utilizamos o en los que hemos creado alguna vez una cuenta, es recomendable utilizar el doble factor de autenticación si la plataforma ofrece esta opción, y tener presente que no es recomendable reutilizar contraseñas.