Se obliga a restablecer la contraseña a los usuarios del intercambio de criptomonedas Poloniex después de una fuga de credenciales

Poloniex Password Reset

Ayer, escribimos sobre una reciente campaña de phishing dirigida a usuarios de PayPal en América Latina. Hablamos sobre cómo los phishers a menudo intentan engañar a las víctimas para que piensen que alguien está intentando hackear su cuenta. La idea es que el pánico que sobreviene disminuirá las posibilidades de que el usuario se dé cuenta de que está siendo estafado. Aunque es bastante efectivo, la práctica es bastante común ahora, y mucha gente lo sabe. Tanto es así que, de hecho, cuando algunos usuarios de Poloniex recibieron correos electrónicos relacionados con la seguridad de su cuenta, se mostraron bastante escépticos.

Una alerta de correo electrónico inesperada levanta algunas cejas

Según el mensaje, el intercambio de criptomonedas se estaba contactando con sus clientes debido a una lista de direcciones de correo electrónico y contraseñas que circulaban en Twitter. El correo electrónico decía que el equipo de seguridad de la plataforma de negociación se apoderó de la lista, la analizó y determinó que algunas de las direcciones estaban asociadas con cuentas de Poloniex. A los usuarios que recibieron el mensaje se les dijo que su dirección está en esa lista y que, por precaución, Poloniex ha forzado un restablecimiento de contraseña para su cuenta. Aunque no había un enlace que los redirigiera a una página de inicio de sesión, algunos usuarios asumieron de inmediato que estaban en el extremo receptor de un ataque de phishing.

Expresaron sus preocupaciones en las redes sociales, y muchas otras personas acordaron que el mensaje parece algo sospechoso. Sin embargo, el 30 de diciembre, el equipo de soporte de Poloniex confirmó que el correo electrónico era genuino.

Poloniex nos cuenta lo que pasó

A pesar del tweet de Poloniex, algunas personas permanecieron confundidas, y ayer, el intercambio de criptomonedas finalmente decidió publicar una publicación de Medium y compartir más detalles sobre el asunto. La publicación dice que aproximadamente el 1% de los clientes de la plataforma comercial recibió la alerta por correo electrónico. Como ya se mencionó, Poloniex los contactó porque sus direcciones de correo electrónico se encontraban en una lista de credenciales de inicio de sesión filtradas que estaban circulando a fines de diciembre.

Crucialmente, los datos no fueron robados de Poloniex. Los expertos en seguridad del intercambio de criptomonedas revisaron sus sistemas y no encontraron evidencia de una violación de datos. Además, mencionaron tanto en la publicación de Medium como en el correo electrónico que almacenan contraseñas como hash de brypt salados. Por el contrario, toda la información de inicio de sesión en la lista filtrada estaba en texto plano.

Después de ponerse en contacto con Troy Hunt, los expertos en seguridad de Poloniex descubrieron que un 90% de las contraseñas de la lista ya estaban presentes en la base de datos Have I Been Pwned. Hunt ya tiene el resto de los datos y los cargará pronto en su servicio de alerta de violación de datos.

En otras palabras, los especialistas en seguridad de Poloniex intentaron proteger a sus clientes de un ataque de relleno de credenciales.

Una divulgación ligeramente mejor habría hecho toda la diferencia

Obtener una cantidad significativa de datos de inicio de sesión robados es más fácil que nunca, lo que significa que los ataques de relleno de credenciales son cada vez más frecuentes. Poloniex merece una palmada en la espalda por ayudar a sus clientes a protegerse contra esta amenaza particular. Sin embargo, debe decirse que una descripción más detallada de lo que estaba sucediendo y un momento ligeramente mejor habría ahorrado a los usuarios muchos rasguños en la cabeza.

La alerta, por ejemplo, no se dirigió a los usuarios por su nombre o nombre de usuario y, en cambio, comenzó con "Estimado cliente de Poloniex", que a menudo se considera un signo revelador de un correo electrónico de phishing. Además de esto, cuando se enviaron los mensajes, no había ninguna publicación de blog que lo acompañara que pudiera arrojar más luz sobre el asunto. No salió hasta tres días después, y durante ese tiempo, lo único que tuvieron que pasar los clientes fue un tweet de la cuenta de soporte de Poloniex, que los instó a "restablecer su contraseña para la seguridad de la cuenta".

Como puede ver, incluso los errores más pequeños pueden causar mucha confusión, especialmente cuando la seguridad (y, en este caso, el dinero encriptado) de muchas personas está en juego. Toda la historia es una prueba más de que la divulgación de un evento relacionado con la seguridad a veces es tan importante como las acciones tomadas para garantizar que las personas permanezcan seguras.

January 3, 2020

Deja una respuesta