Robinhood dejó accidentalmente algunas de las contraseñas de sus usuarios en texto sin formato

Robinhood Markets Inc. es una compañía de servicios financieros de propiedad privada que es mejor conocida por su aplicación de negociación de acciones sin comisiones. Recientemente completó su última ronda de financiación y ahora se cree que tiene un valor de más de $ 7,6 mil millones. Usted pensaría que Robinhood sería perfectamente consciente de lo que debería y lo que no debería hacerse cuando se trata de almacenar contraseñas , especialmente dado que su servicio principal gira en torno al intercambio de grandes cantidades de dinero. En su mayor parte, es un supuesto razonable, pero a medida que los desarrolladores de Robinhood aprendieron su propio costo, se pueden cometer errores y, cuando eso ocurra, el daño potencial podría ser bastante devastador.

Cómo Robinhood suele almacenar las contraseñas de los usuarios

Hemos discutido el tema en estas páginas, y ya hemos mencionado que si un servicio en línea almacena su contraseña correctamente, sus credenciales de inicio de sesión no deben ser visibles para nadie, incluidos los empleados del proveedor. Los desarrolladores que diseñan sus aplicaciones y sitios web de acuerdo con las mejores prácticas de la industria colocan las contraseñas de las personas a través de una función criptográfica llamada hash antes de almacenarlas en una base de datos. Hashing convierte su contraseña en una serie de caracteres de apariencia aleatoria (llamado valor hash) que no se parece a su contraseña, y debido a que la función es (en teoría) irreversible, los hackers no pueden usar el valor hash para adivinar cuál es su valor. la contraseña es.

Hashing tiene sus trampas también. Recientemente hablamos sobre cómo los algoritmos de hash obsoletos como MD5 pueden poner en riesgo sus contraseñas. También hemos discutido cómo la aplicación de sales criptográficas es una parte integral del proceso de hash porque garantiza que dos contraseñas idénticas no generarán los mismos valores de hash.

Robinhood ha hecho su tarea. Una página de ayuda titulada " Cómo estás protegido " dice que las contraseñas de los usuarios están codificadas con bcrypt. Estas son buenas noticias. Bcrypt es ampliamente reconocido como uno de los algoritmos de hash más fuertes disponibles en la actualidad, y tiene una funcionalidad de salado integrada en él.

Según la información que tenemos, podemos decir que el sistema probablemente esté bien diseñado. Recientemente, sin embargo, algo salió mal.

Las contraseñas de Robinhood se dejaron en texto simple debido a un error técnico

A principios de esta semana, algunos usuarios de Robinhood comenzaron a recibir notificaciones diciéndoles que sus contraseñas no se habían manejado correctamente. Los correos electrónicos fueron reportados por primera vez por ZDNet , y declararon que las contraseñas de algunas personas "pueden haber sido" almacenadas en un formato legible en los servidores backend de Robinhood. Tan pronto como descubrieron el defecto, los desarrolladores de la aplicación se dispusieron a solucionarlo y, cuando se publicaron las notificaciones, ya se había solucionado el problema.. El equipo de Robinhood dijo que no tienen evidencia de que alguien fuera de la compañía haya revisado las contraseñas, pero a pesar de esto, aún dijeron que los usuarios afectados podrían querer cambiar sus contraseñas "por una gran cantidad de precaución". ZDNet le preguntó a Robinhood sobre la cantidad de cuentas afectadas, pero los portavoces de la aplicación decidieron no revelarla.

Esta no es la primera vez que esto ha sucedido.

Hay que decir que las personas que trabajan para servicios en línea mucho más grandes que Robinhood han cometido errores similares. El año pasado, por ejemplo, Twitter reveló que por un breve tiempo, almacenó las contraseñas de todos sus 330 millones de usuarios en forma simple. Semanas antes, GitHub admitió que parte de su personal podría haber accedido también a las credenciales de inicio de sesión de las personas en texto sin formato. En otras palabras, estas cosas pasan de vez en cuando. Robinhood no es la primera aplicación que expone internamente las contraseñas de las personas, y probablemente no será la última.

Sin embargo, esto no hace que el problema sea menos serio. De hecho, en todos estos casos, las contraseñas solo eran accesibles para los empleados, lo que limita un poco el peligro. Sin embargo, los desarrolladores deben hacer todo lo posible para garantizar que estos errores se eviten en el futuro.