Las contraseñas hash y los códigos de restablecimiento de contraseña se han filtrado en una violación masiva de datos de Tokopedia

La semana pasada, el servicio de monitoreo de violación de datos Under the Breach notó una publicación interesante en un foro de piratería popular. El autor estaba ofreciendo 15 millones de registros de usuarios robados de Tokopedia, una de las plataformas de comercio electrónico más grandes de Indonesia, completamente gratis. Los datos fueron robados en marzo de este año, y la persona que los compartió afirmó que era parte de un vertedero mucho más grande, que pretendía monetizar. De hecho, un día después, Under the Breach dijo que "el mismo actor" estaba vendiendo la friolera de 91 millones de registros de Tokopedia por $ 5 mil en un oscuro mercado web.

Como era de esperar, la gente comenzó a hacer preguntas y, lejos de negar la violación, Tokopedia mantuvo una reunión con representantes de algunas agencias gubernamentales indonesias para aclarar las cosas. Según The Jakarta Post, Johnny Plate, Ministro de Comunicación e Información del país, aseguró que las "cuentas de usuario y los datos financieros de los compradores están seguros". ¿Pero es éste realmente el caso?

Los hackers robaron contraseñas hash y están tratando de encontrar una manera de descifrarlas

Puede parecer un poco extraño al principio. Por un lado, los datos fueron robados, pero por otro lado, las personas no necesitan preocuparse por sus cuentas. La confusión proviene del hecho de que The Jakarta Post no compartió detalles técnicos con sus lectores. Afortunadamente, ZDNet lo hizo.

La buena noticia es que Tokopedia no almacena contraseñas en texto sin formato. Cuando compartió los primeros 15 millones de registros de forma gratuita, la persona responsable de la violación le pidió a sus compañeros piratas informáticos que lo ayudaran a descifrar las credenciales de inicio de sesión almacenadas en la base de datos. Según ZDNet, esto no es una hazaña mala. Aparentemente, las contraseñas se cifraron con SHA2-384, y el propio pirata informático admitió que no podía robar las sales criptográficas utilizadas para mejorar la seguridad del algoritmo de cifrado. Como resultado de todo esto, convertir los hashes en contraseñas de texto sin formato e iniciar sesión en las cuentas de las personas sería bastante difícil.

Es por eso que Johnny Plate dijo que las cuentas de los usuarios de Tokopedia están seguras, y es por eso que el pirata informático está vendiendo el basurero por un monto relativamente modesto de $ 5 mil. Lamentablemente, no significa que las personas deban relajarse.

Los usuarios de Tokopedia afectados se enfrentan a una serie de amenazas

Como señaló ZDNet, SHA2-384 podría considerarse seguro, pero esto no significa que sea infalible. Recientemente, por ejemplo, los piratas informáticos robaron una base de datos de Quidd, una plataforma para el comercio de coleccionables digitales, y al principio se sintieron decepcionados al saber que las contraseñas habían sido procesadas con bcrypt, otro algoritmo de hash fuerte. Sin embargo, algunos de los delincuentes decidieron intentarlo, e inevitablemente, una parte de los hashes estaban rotos.

Incluso sin las contraseñas, las personas que tienen en sus manos los datos de Tokopedia podrían estar buscando una serie de oportunidades de ataque. Después de hojear una copia del volcado inicial, ZDNet dijo que los registros contienen una gran cantidad de información personal como nombres, correos electrónicos, fechas de nacimiento, así como una tonelada de detalles específicos del perfil, como fechas de creación de cuentas, información de ubicación, educación, campos sobre mí, etc. Aparentemente, los códigos de restablecimiento de contraseña también se filtraron, aunque no está claro si son válidos.

Fue una violación masiva de datos, y el pirata informático despegó con mucha información, lo que puede ayudar a los cibercriminales a idear una serie de estafas diferentes. Los propietarios de cuentas Tokopedia deberían ser un poco más cuidadosos de ahora en adelante.