Se han comprometido 23 millones de cuentas en una violación de datos de CafePress

CafePress es un minorista en línea que vende de todo, desde papelería, ropa de cama, hasta sudaderas con todo tipo de diseños interesantes. Ha estado en el negocio durante casi veinte años, pero en este momento está en un aprieto. No es que puedas decir, eso sí.

Visite cualquiera de los canales de medios sociales de CafePress y se quedará pensando que todo está bien. La página de inicio de la tienda en línea tampoco sugiere que haya habido un incidente de ciberseguridad importante. Desafortunadamente, esto es exactamente lo que ha sucedido y ha afectado a no menos de 23 millones de usuarios.

Los hackers robaron más de 23 millones de registros de CafePress en febrero

Un servicio de informes de incumplimiento con el nombre de We Leak Info dio la noticia por primera vez el 14 de julio, cuando dijo que había encontrado una base de datos que contenía los registros de más de 23.3 millones de usuarios de CafePress. Según We Leak Info, la información que encontró fue robada en febrero e incluía nombres, correos electrónicos y hashes de contraseñas. A pesar del número significativo de personas afectadas, nadie prestó atención a la alerta de incumplimiento de We Leak Info. Sin embargo, cuando Troy Hunt consiguió los datos, las cosas cambiaron dramáticamente.

Hunt recibió recientemente lo que parece ser información comprometida de CafePress de una persona que prefiere ser conocida por su dirección de correo electrónico: JimScott.Sec@protonmail.com. El 5 de agosto, Hunt lo cargó en su servicio Have I Been Pwned y comenzó a enviar notificaciones a las víctimas que se habían suscrito a sus alertas. Al principio, parecía que los datos que había diferido de los que We Leak Info había informado. Inicialmente, Hunt dijo que la base de datos no contiene hashes de contraseñas, pero luego actualizó la descripción cuando descubrió que algunas contraseñas codificadas y hash de hecho eran parte de la información robada. Sin embargo, según el gurú australiano de ciberseguridad, el vertedero también contiene números de teléfono y direcciones físicas.

CafePress actúa como si nada hubiera pasado

Las personas que recibieron las notificaciones de Troy Hunt acudieron a las redes sociales para tratar de resolver lo que estaba sucediendo, y muy pronto, los medios como Forbes y The Register aparecieron por toda la historia. Como era de esperar, los periodistas intentaron ponerse en contacto con CafePress y averiguar más sobre la violación, pero no recibieron respuesta.

Más de 24 horas después de que las primeras alertas de Troy Hunt comenzaron a volar, la compañía continúa en silencio.. CafePress no ha emitido una declaración oficial, su página de Facebook continúa promocionando nuevos productos y ventas, y en Twitter, el minorista ha respondido a solo una de las muchas preguntas que los clientes molestos están haciendo.

El minorista no ha ignorado por completo la violación y ha iniciado una campaña de restablecimiento de contraseña para lo que parecen ser todos sus usuarios. La cuestión es que la redacción de las notificaciones parece estar diseñada deliberadamente para desviar la atención de la gente de la violación de datos. Como informó el periodista tecnológico Darren Pauli, el correo electrónico afirma que el motivo del cambio de contraseña reside en una política de contraseña actualizada. La violación de datos de febrero no recibe tanta mención.

Este tipo de comportamiento de cabeza en la arena realmente no le está haciendo ningún favor a la credibilidad de CafePress. Se podría argumentar que ya es demasiado tarde, pero si quieren parecer incluso remotamente interesados en la privacidad de las personas, lo menos que el equipo de administración podría hacer es anunciar públicamente que sus sistemas han sido violados y que están tratando de evitar este tipo de cosas. sucediendo de nuevo en el futuro. Dadas las circunstancias, es el único curso de acción correcto.