Se confirmó: las contraseñas de los usuarios de XKCD se violaron durante una violación de datos

XKCD Webcomic Forum Data Breach

Aquellos de ustedes interesados en las matemáticas, la tecnología y la seguridad de la información probablemente hayan escuchado el nombre de Randall Munroe. Él es el creador del webcomic XKCD que utiliza dibujos animados de figuras de palo brillantes y una buena dosis de humor para discutir estos temas. Usando XKCD, Munroe popularizó su teoría de la `` grapa de batería de caballo correcta, según la cual una frase de contraseña larga que consta de cuatro palabras aleatorias es más fácil de recordar y más segura que una cadena codificada de letras, números y caracteres especiales.

El viernes, el experto en ciberseguridad y creador del servicio de alerta Have I Been Pwned, Troy Hunt, utilizó su enorme seguimiento en Twitter para intentar ponerse en contacto con Randall Munroe. No estaba tratando de explicar por qué la teoría de la "grapa de batería de caballo correcta" podría no funcionar en el mundo real. Lo hizo hace un tiempo . Hunt estaba tratando de decirle a Munroe que la información que pertenece a los fanáticos de XKCD ha sido expuesta.

El foro de XKCD fue violado

Troy Hunt fue contactado inicialmente por un hacker ético llamado Adam Davies, quien le dijo que el foro donde la gente discute todo lo relacionado con XKCD fue violado hace un par de meses. Finalmente, Hunt logró ponerse en contacto con el administrador del foro que reconoció la violación y tomó medidas para abordar el problema.

Se enviaron notificaciones por correo electrónico a las personas afectadas, el foro se desconectó y permanecerá inactivo mientras las personas responsables intentan averiguar qué sucedió exactamente. Mientras tanto, Troy Hunt recibió la información filtrada de Adam Davies, y la cargó en su servicio de alerta de violación de datos, lo que significa que puede ingresar su correo electrónico en https://haveibeenpwned.com/ y ver si su cuenta ha sido comprometida.

¿Qué tan grande fue la brecha?

XKCD es uno de los webcomics más populares del mundo, y las herramientas de análisis sugieren que tiene millones de visitas mensuales. A la luz de esto, la brecha en los foros no parece tan terrible. Un poco menos de 562 mil cuentas se vieron afectadas, lo que, aunque sigue siendo un número significativo, no es tan grande como las docenas de millones de registros que otros sitios web y aplicaciones pierden a diario.

Además de esto, el foro XKCD es de uso gratuito, lo que significa que no almacena ninguna información financiera. Según la declaración publicada actualmente en el foro, los datos que quedaron expuestos incluyen direcciones IP en el momento del registro, nombres de usuario, correos electrónicos y "contraseñas con sal y hash".

Es seguro asumir que cuando el foro vuelva a estar en línea, las contraseñas de las cuentas afectadas se restablecerán. Sin embargo, los administradores advirtieron correctamente a los usuarios que si han usado su contraseña XKCD para otras cuentas, deben cambiarla con carácter de urgencia. Y con buen motivo.

Incluso la contraseña más segura no puede vencer a un algoritmo de hash débil

Estamos bastante seguros de que algunos de ustedes usan el sistema de "grapa de batería de caballo correcta de Randall Munroe" mientras que otros, como Troy Hunt, confían en generadores de contraseñas. Independientemente de cuál sea su postura, cada una de sus cuentas debe estar protegida con una contraseña segura y única. Desafortunadamente, incluso esto no es suficiente a veces.

La notificación de violación de datos de XKCD dice que los hackers se han aprovechado de una vulnerabilidad en phpBB, la plataforma subyacente del foro. El hecho de que existiera el agujero sugiere que no se han instalado todas las actualizaciones de seguridad. La función de hash de contraseña también apunta hacia software desactualizado.

Según Have I Been Pwned, las contraseñas se cifraron con MD5 que, como mencionamos no hace mucho tiempo, es un algoritmo de hashing lamentablemente desactualizado e inseguro. De hecho, también fueron salados, lo que hará que recuperar las credenciales sea un poco más difícil, pero aun así, el hecho de que su contraseña XKCD esté protegida con MD5 significa que debe considerarse comprometida y nunca más debe usarse.

September 4, 2019

Deja una respuesta