CafePress finalmente confiesa hasta la violación masiva de datos
Muchas personas ahora saben que el popular minorista de camisetas y mercadería CafePress sufrió una importante violación de datos a principios de 2019. En julio, los seguidores de una cuenta de Twitter con el nombre We Leak Info se enteraron, y un par de semanas después, Cuando el especialista en seguridad Troy Hunt tuvo en sus manos los datos, la noticia se extendió mucho más.
Como mencionamos en ese momento , el incidente tuvo lugar en febrero, y fue bastante grande, con alrededor de 23 millones de cuentas afectadas. Los datos filtrados también incluían detalles como direcciones físicas, y según Troy Hunt, las contraseñas que estaban en el basurero no estaban muy bien protegidas. A la luz de todo esto, el comportamiento de CafePress fue positivamente extraño.
No hubo una declaración oficial, y aunque muchos reporteros trataron de pedir un comentario, el minorista mantuvo los labios cerrados. Algunos usuarios dijeron que se habían visto obligados a cambiar sus contraseñas, pero aparentemente se les dijo que la acción fue provocada por una nueva política de contraseñas, no por una violación de datos.
En este momento, más de un mes y medio después de que Troy Hunt cargó la base de datos en Have I Been Pwned, y poco más de siete meses después de que la información fuera robada, CafePress finalmente admite públicamente que ha sufrido una violación de datos.
Los clientes de CafePress comienzan a recibir notificaciones de violación de datos a través de los correos electrónicos
La semana pasada, CafePress comenzó a enviar correos electrónicos que informaban a "clientes valiosos" sobre "un incidente de seguridad de datos", que involucraba su información personal. El minorista se disculpó profusamente por la fuga y arrojó algo más de luz sobre el asunto. ¿Pero fue suficiente?
Según las capturas de pantalla compartidas en las redes sociales , se informó a los usuarios que la información personal, incluidos los nombres, las direcciones de correo electrónico y las contraseñas, podría haber estado involucrada. A las personas se les aseguró que los datos se habían trasladado a "un entorno diferente", pero se les aconsejó que cambiaran la contraseña que estaban usando para su cuenta de CafePress en cualquier otro servicio en línea donde aún pueda estar activa. El correo electrónico también declaró que los usuarios deberían "permanecer vigilantes" y estar atentos a cualquier signo de robo de identidad.
Muchas personas que recibieron la notificación no estaban especialmente contentas con ella. Algunos de ellos estaban bastante molestos por el hecho de que sus contraseñas se habían almacenado en lo que parece ser un formato recuperable (las notificaciones no dan detalles sobre los mecanismos de almacenamiento exactos). Otros pensaron que este tipo de mensajes no deberían provenir de una dirección de "no respuesta", y la mayoría estaban bastante enojados por el hecho de que el minorista se está abriendo sobre la violación más de medio año después de que sucedió. Sin embargo, hay algunas cosas que podrían ponerlas en un estado de ánimo aún más oscuro.
Los detalles aún son difíciles de encontrar.
Gracias al poder de Internet, podemos saber que el 4 de septiembre, aproximadamente dos semanas antes de que las primeras notificaciones de violación de datos comenzaran a llegar a las bandejas de entrada de las personas, los abogados de CafePress enviaron una carta formal [PDF] al Fiscal General de Iowa para informar públicamente a la institución de el incumplimiento. Un día después, el 5 de septiembre, el minorista publicó una página en su sitio web dedicada al incidente. Las versiones para ciudadanos del Reino Unido , Canadá y Australia también están disponibles, pero por razones que no son particularmente claras, encontrarlas no es muy fácil. Al momento de escribir, este contenido no parece estar disponible a través del motor de búsqueda de CafePress, y hasta donde podemos entender, no se ha compartido con los usuarios de ninguna manera. Sin embargo, la información en la carta al Fiscal General de Iowa y la página web difícil de localizar nos da más detalles sobre la violación de datos completa.
Nos da un desglose de la ubicación geográfica de las personas afectadas. Aparentemente, más de 22 millones de personas fueron golpeadas en todo el mundo, incluidos 450 mil australianos, alrededor de 495 mil canadienses y un poco más de 1 millón de ciudadanos de la UE (de los cuales 880 mil viven en el Reino Unido). Además de los nombres, las direcciones de correo electrónico y las contraseñas, el "tercero no identificado" que violó la seguridad de CafePress logró robar los últimos cuatro dígitos y las fechas de vencimiento de algunas tarjetas de crédito, así como información confidencial como los números de Seguridad Social e Identificación Fiscal (incluyendo los equivalentes en Canadá, Australia y el Reino Unido). Afortunadamente, solo alrededor del 1% de todas las personas afectadas tenían detalles como los números de Seguro Social expuestos, y todos recibirán protección contra el robo de identidad pagada por CafePress.
La carta al Fiscal General de Iowa dice que el 6 de agosto, CafePress "descubrió" que los datos personales de sus clientes "se ofrecen a la venta y están disponibles en la web oscura". Sin embargo, la gente de seguridad del minorista probablemente no estaba demasiado sorprendida por este "descubrimiento", porque de acuerdo con el mismo documento, el 13 de marzo, lidiaron con una vulnerabilidad de seguridad en la base de datos afectada. En aquel entonces, no encontraron "evidencia forense" que sugiriera que la información había sido robada, pero el 15 de abril de 2019, sin embargo, obligaron a restablecer la contraseña para todos los que intentaban iniciar sesión en su cuenta. Debido a esto, el documento establece que "las contraseñas que se pudieron haber obtenido durante este incidente ya no estaban vigentes a partir del 15 de abril de 2019".
Incluso si asumimos que este es el caso, no podemos ignorar el hecho de que las personas reutilizan las contraseñas todo el tiempo . Tampoco podemos ignorar el hecho de que CafePress no ha manejado el problema de la manera más transparente posible.
