Un mes después de que Poshmark confirmó una violación de datos, la información privada del usuario se vende en línea

Poshmark Data Breach

Hace casi exactamente un mes, el mercado de ropa en línea de América del Norte, Poshmark, anunció que había sufrido una violación de datos. Por razones que aún no están claras, el sitio web decidió no revelar cuántas personas se vieron afectadas, pero como los medios de comunicación que cubrieron el incidente señalaron en ese momento, Poshmark tiene decenas de millones de usuarios, por lo que el impacto potencial fue bastante significativo desde el principio . Desafortunadamente, el tamaño real de la base de datos robada seguía siendo desconocido. Hasta ayer, eso es.

La semana pasada, una persona que quiere ser referida por su dirección de correo electrónico, JimScott.Sec@protonmail.com, tuvo en sus manos los datos robados de Poshmark, y decidió compartirlos con la leyenda de ciberseguridad Troy Hunt. Hunt procesó la información y la cargó en su servicio de alerta de violación de datos HaveIBeenPwned . Gracias a esto, ahora sabemos que se han expuesto poco más de 36 millones de cuentas.

Mucha gente se ve afectada. ¿Pero cuán preocupados deberían estar?

¿Qué robaron los hackers?

Desde el principio, Poshmark quería señalar que los ciberdelincuentes no robaron ningún dato financiero o información relacionada con las direcciones físicas de los clientes. La publicación del blog dice que, además de tomar información disponible públicamente, como nombres y nombres de usuario, los ciberdelincuentes lograron escapar con una base de datos interna que contiene la configuración de correo electrónico y notificaciones automáticas de las personas.

Hasta ahora, tan poco notable, pero Poshmark admitió que los datos de la cuenta interna también habían sido expuestos. Esto incluye las direcciones de correo electrónico de las personas, las ID de usuario, las preferencias de tamaño y, lo que es más importante, las "contraseñas cifradas unidireccionales con sal única por usuario". Luego, el minorista continuó explicando que había utilizado bcrypt, uno de los pocos algoritmos de hash que se consideran lo suficientemente seguros como para usarse para almacenar contraseñas . A pesar de esto, Poshmark aconsejó a sus usuarios que cambien sus contraseñas por si acaso.

A primera vista, mientras los 36 millones de clientes de Poshmark deberían estar atentos a correos electrónicos no deseados y de phishing, no hay mucho de qué preocuparse. Sin embargo, surgió nueva información el lunes, lo que suena un poco preocupante.

Los hackers supuestamente venden contraseñas de Poshmark rotas

Después de que Troy Hunt anunciara que los datos de Poshmark se habían cargado en HaveIBeenPwned, Bleeping Computer se puso en contacto con JimScott.Sec@protonmail.com (que tiene experiencia en el manejo de este tipo de incidentes, por cierto) y formuló algunas preguntas sobre el información. El misterioso individuo le dijo al sitio web de noticias de seguridad que había visto la base de datos completa, con los 36 millones de cuentas en ella, cambiando de manos en la web oscura por tan solo $ 750. Sin embargo, también señaló que había visto que se ofrecían alrededor de 1 millón de cuentas de Poshmark rotas a un precio mucho más alto. Si eso es cierto, los piratas informáticos están vendiendo conjuntos completos de credenciales de inicio de sesión, lo que significa que de alguna manera han logrado recuperar las contraseñas de texto sin formato de las personas.

Es un giro interesante porque si la revelación inicial de Poshmark es veraz, las contraseñas no deberían ser recuperables. Los expertos dicen que bcrypt es un algoritmo adecuado para contraseñas hash por una muy buena razón. Si bien podría ser teóricamente posible descifrarlo, incluso con el potente hardware de hoy en día, hacerlo no es práctico. Esto sugiere que la implementación del minorista de ropa no fue correcta o que los piratas informáticos simplemente adivinaron el millón de contraseñas Poshmark que están vendiendo.

Cualquiera sea el caso, el simple hecho de que estas credenciales se negocien en los mercados subterráneos una vez más resalta la importancia de proteger todas sus cuentas con contraseñas seguras y únicas.

September 4, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 10 + 6 ?