Puede ser difícil mantenerse al día con los últimos hacks de seguridad en línea, por lo que hemos resumido algunas de las infracciones más notables de 2018.

5 brechas de datos recientes que pueden haber puesto sus datos en riesgo

Anuncio Las violaciones de datos son parte del mobiliario de nuestras vidas digitales. Apenas pasa un día sin que otra compañía filtre sus datos. Y aunque estos eventos se están volviendo más comunes, algo más cambió en 2018 también. La implementación del Reglamento General de Protección de Datos (GDPR) de la UE significa que las empresas ahora se comprometen a revelar cualquier incumplimiento dentro de las 72 horas. Puede se

Anuncio

Las violaciones de datos son parte del mobiliario de nuestras vidas digitales. Apenas pasa un día sin que otra compañía filtre sus datos. Y aunque estos eventos se están volviendo más comunes, algo más cambió en 2018 también.

La implementación del Reglamento General de Protección de Datos (GDPR) de la UE significa que las empresas ahora se comprometen a revelar cualquier incumplimiento dentro de las 72 horas. Puede ser difícil mantenerse al día con los últimos hacks, por lo que hemos reunido algunas de las infracciones más notables del año.

1. Under Armour

Usuarios afectados: 150 millones
Datos expuestos: nombres de usuario, direcciones de correo electrónico y contraseñas hash

Para muchas personas en todo el mundo, la aplicación de seguimiento de dieta y ejercicio MyFitnessPal (MFP) es un compañero diario en su viaje de acondicionamiento físico. Por lo tanto, fue una pequeña sorpresa cuando la compañía de ropa deportiva Under Armour adquirió MFP como parte de su oferta digital. En marzo de 2018, Under Armour (UA) emitió una declaración de que MyFitnessPal se había visto comprometida, con los nombres de usuario, las direcciones de correo electrónico y las contraseñas hash de los 150 millones de usuarios de la aplicación expuestos.

La compañía actuó rápidamente. Dentro de los cuatro días de enterarse de la violación, MyFitnessPal envió una actualización por correo electrónico a todos los usuarios y creó un sitio web de preguntas frecuentes. Recomendaron que todos los usuarios cambien sus contraseñas de inmediato y que continúen, de manera algo vaga, "haciendo mejoras en [sus] sistemas para detectar y prevenir el acceso no autorizado a la información del usuario".

En la superficie, parece que Under Armour estaba haciendo lo correcto por sus usuarios. Sin embargo, si bien algunas contraseñas se cifraron con bcrypt, un proceso para transformar su contraseña en una cadena de caracteres ilegible Cada sitio web seguro hace esto con su contraseña Cada sitio web seguro hace esto con su contraseña ¿Alguna vez se preguntó cómo los sitios web mantienen su contraseña segura de los datos? infracciones? Leer más: otros no tuvieron tanta suerte. Aunque no revelaron los números, una parte de la importante base de usuarios de MFP solo estaba protegida con SHA-1, ampliamente considerada como la forma más débil de hashing.

Aunque la filtración ocurrió a principios de año, a partir de septiembre de 2018, no hubo más actualizaciones sobre la causa de la violación o cómo UA espera evitar futuros ataques. La compañía tampoco ha detallado si continuarán utilizando el hash SHA-1.

2. British Airways

Usuarios afectados: Desconocido
Datos expuestos: datos personales y financieros del cliente

A medida que el verano llegaba a su fin a principios de septiembre, la aerolínea más grande del Reino Unido, British Airways (BA), dijo que estaban investigando urgentemente el robo de información de los clientes. En su sitio web de información sobre incidentes, la compañía dijo que el robo afectó a "los clientes que hicieron reservas o cambiaron sus reservas [...] entre las 22:58 BST del 21 de agosto de 2018 y las 21:45 BST del 5 de septiembre de 2018". Los datos robados incluían nombres, dirección de correo electrónico, dirección de facturación y detalles de la tarjeta bancaria.

Si estuvo entre las desafortunadas víctimas del ataque, BA ha prometido que no se quedará sin dinero como resultado directo del robo. Sin embargo, vale la pena señalar que no han dicho lo que consideran un "resultado directo". En los días posteriores a la divulgación, The Register informó que un guión de pago externo podría haber sido el culpable del ataque. La firma de seguridad RiskIQ dijo que el ataque probablemente fue llevado a cabo por un grupo conocido como Magecart, que fueron responsables de un ataque muy similar en Ticketmaster a principios de 2018.

Poco más de un año antes del ataque, BA también estaba en el centro de una falla de energía informática masiva. La falla hizo que los sistemas de TI de la compañía se detuvieran, aterrizando todos los aviones y afectando a miles de pasajeros. A pesar de estar en los titulares de todo el mundo, BA ha dicho poco sobre la causa de la interrupción sin precedentes.

3. TypeForm

Typeform experimentó una violación de datos en 2018

Usuarios afectados: Desconocido
Datos expuestos: datos de la encuesta, incluida información de identificación personal

Si ha completado una encuesta en línea en los últimos años, probablemente haya utilizado el sitio web de recopilación de datos Typeform. Sus encuestas son populares entre las empresas, ya que son fáciles de configurar y fáciles de usar. Los clientes de Typeform son empresas, no usuarios finales. Entonces, cuando la compañía descubrió una violación en junio de 2018, alertaron a sus clientes.

El sitio de respuesta a incidentes de Typeform carece de detalles y se centra en cómo las empresas deben informar a los clientes sobre la divulgación. Todo lo que sabemos sobre la violación de Typeform es que fue el resultado del acceso no autorizado a una copia de seguridad parcial con fecha del 3 de mayo de 2018. Aunque no está claro qué tan atrás se extienden esos datos. Como Typeform eligió no proporcionar un desglose detallado, el número total afectado tampoco está claro.

Sin embargo, la lista de organizaciones atrapadas en la brecha es bastante extensa. Los minoristas británicos Fortnum & Mason y John Lewis estuvieron entre los afectados, junto con la cadena de panaderías australiana Bakers Delight. Otras víctimas conocidas incluyen Airtasker, Rencore, PostShift, Revolut, la Unión de Estudiantes de la Universidad de Middlesex, Monzo, la Comisión Electoral de Tasmania, Travelodge y los demócratas liberales del Reino Unido.

4. Exactis

Exactis fue pirateado en 2018

Usuarios afectados: 340 millones
Datos expuestos: todo lo imaginable, menos los números de seguro social y de tarjeta de crédito

En nuestra economía moderna, intercambiamos nuestros datos a cambio de productos gratuitos y servicios en línea. Sin embargo, hay un movimiento creciente en contra de este tipo de recopilación de datos. Se refieren despectivamente a la práctica como capitalismo de vigilancia. Este sentimiento se ha vuelto aún más popular a raíz del hack de Equifax en 2017 Equihax: una de las violaciones más calamitosas de todos los tiempos Equihax: una de las violaciones más calamitosas de todos los tiempos La violación de Equifax es la violación de seguridad más peligrosa y embarazosa de todo el tiempo. ¿Pero conoces todos los hechos? ¿Has sido afectado? ¿Qué puedes hacer al respecto? Descúbrelo aquí. Lea más y el escándalo Cambridge Analytica de Facebook aborda el escándalo Cambridge Analytica El escándalo Cambridge Analytica Facebook se ha visto envuelto en lo que se conoce como el escándalo Cambridge Analytica. Después de permanecer en silencio durante unos días, Mark Zuckerberg ha abordado los problemas planteados. Lee mas . Probablemente se sorprendió de que Equifax hubiera estado recopilando información detallada sobre usted a sus espaldas. Lamentablemente, no te sorprenderá saber que no fueron los únicos.

En junio, el investigador de seguridad Vinny Troia utilizó el buscador de computadora Shodan para descubrir una base de datos que contenía 340 millones de registros. La empresa de marketing Exactis dejó la base de datos sin seguridad en un servidor disponible públicamente. Mientras que los 145.5 millones de registros del hack de Equifax recibieron una cobertura generalizada, la base de datos Exactis eclipsó eso en 340 millones de registros. Sin embargo, a diferencia de los datos agregados de Equifax, un investigador de seguridad encontró la base de datos Exactis. Actualmente no hay evidencia de que se haya accedido maliciosamente.

Exatis es un corredor de datos, comerciando con nuestra información personal, y así es como llegaron a estar en posesión de casi 214 millones de personas y 110 millones de datos comerciales. Según WIRED, los registros incluyen "más de 400 variables en una amplia gama de características específicas: si la persona fuma, su religión, si tiene perros o gatos, e intereses tan variados como el buceo y la ropa de talla grande".

Sin embargo, hay un lado positivo aquí. A pesar de la cantidad fenomenal de datos identificables, a diferencia de Equifax, no tenían información financiera. Sin embargo, si resulta que una parte maliciosa accedió a la base de datos, hay muchas oportunidades para la ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social Qué técnicas de ingeniería social usaría un hacker ¿Y cómo te protegerías de ellos? Echemos un vistazo a algunos de los métodos de ataque más comunes. Lee mas .

5. Timehop

¿Sabías que Timehop ​​fue pirateado durante 2018?

Usuarios afectados: 21 millones
Datos expuestos: nombres, direcciones de correo electrónico, fechas de nacimiento, género, códigos de país y números de teléfono

Nuestra nostalgia colectiva por años pasados ​​se ha convertido en un gran negocio. Ninguna compañía ha podido capitalizar este amor del pasado más que Timehop. La aplicación Timehop ​​se conecta a sus redes sociales y reaparece sus publicaciones anteriores para recordarle lo que estaba haciendo en este día en el pasado. En julio de 2018, Timehop ​​anunció que había interrumpido una intrusión en la red el Día de la Independencia.

A pesar de detener el ataque en poco más de dos horas, el intruso pudo tomar muchos datos. Desafortunadamente, esto incluyó nombres, direcciones de correo electrónico, fechas de nacimiento, género y, en algunos casos, números de teléfono de los 21 millones de usuarios de la aplicación. Sin embargo, pudieron evitar que el atacante obtuviera acceso a publicaciones en redes sociales y mensajes privados.

El atacante logró acceder a las claves OAuth2 almacenadas, que otorgan acceso a las redes sociales conectadas de un usuario. Antes de revelar la violación, Timehop ​​trabajó con las redes sociales para desactivar estas claves, lo que obligó a los usuarios a volver a autenticar las cuentas conectadas.

A diferencia de muchos de sus contemporáneos, su sitio web del incidente se presentó claramente. El ataque se explicó tanto en términos técnicos como directos. Incluso proporcionaron una tabla fácilmente digerible de las combinaciones de datos accedidos y cuántas personas se vieron afectadas. Por supuesto, esto será un pequeño consuelo para los 21 millones de víctimas nostálgicas de la aplicación.

Protéjase de la próxima violación de datos

Los servicios que alguna vez pensamos que eran seguros se están deshaciendo rápidamente gracias en parte a sus malas prácticas de seguridad. Incluso puede comenzar a preguntarse si alguna parte de Internet es segura. Especialmente dada la cantidad de veces que la recolección de datos ha expuesto su información personal. Si le preocupa que algo esté mal, debe verificar si sus cuentas en línea han sido pirateadas.

La responsabilidad de protegerlo recae en los pies de las empresas afectadas. Sin embargo, hay maneras de mejorar su higiene cibernética Mejore su higiene cibernética en 5 sencillos pasos Mejore su higiene cibernética en 5 sencillos pasos En el mundo digital, la "higiene cibernética" es tan importante como la higiene personal del mundo real. Se necesitan verificaciones regulares del sistema, junto con nuevos hábitos en línea más seguros. Pero, ¿cómo puedes hacer estos cambios? Lea más que fortalecerá sus defensas. Las contraseñas son uno de nuestros mayores dolores de cabeza, pero hay buenas noticias. Es posible que no tenga que esperar mucho más antes de que comencemos a ver alternativas de contraseña interesantes ¿No más fugas? 3 emocionantes alternativas de contraseña que llegarán pronto ¿No más fugas? 3 emocionantes alternativas de contraseña que llegarán pronto La seguridad de la contraseña puede parecer una batalla interminable. Afortunadamente, hay algunos que están trabajando en métodos de seguridad que pueden reemplazar las contraseñas. Leer más golpear la corriente principal.

Haber de imagen: stevanovicigor / DepositPhotos