Esta semana hemos conocido los detalles de la enésima filtración de bases de usuarios de aplicaciones. A principios de semana le tocó a Timehop y, conforme pasan los días, el alcance de la filtración se ha ido demostrando peor de lo que inicialmente se explicó. Justo hoy, se ha hecho público el caso Jobandtalent.
Desgraciadamente, las infiltraciones de datos(info) de usuarios, con sus cuentas y contraseñas, no son cuestiones anecdóticas sino un grave problema que han afrontado muchas aplicaciones a lo largo de la historia, y parece que seguiremos viviendo infiltraciones semejantes en el futuro. Hoy, hemos recopilado los casos más graves de los que tenemos memoria.
Jobandtalent, 10 millones de cuentas
— Rubén del Campo (@rdelcampog) July 11, 2018
Este es el más reciente de los casos de infiltraciones que hemos vivido estos días. Los hechos tuvieron lugar el pasado día 5 de julio, cuando los servidores de la compañia fueron atacados por una “plataforma externa y ajena a Jobandtalent” que, según apuntan a través de un correo, obtuvieron info limitada de sus usuarios.
No ha sido hasta una semana después que han contactado a los afectados, pese-a-que aseguran haber solucionado el problema inmediatamente. ¿Qué tipo de datos(info) se filtraron? E-mail, nombre y apellidos, dirección IP(dinámica) y la relación de passwords bajo el cifrado usado por sus servidores, los datos(info) de más de 10 millones de usuarios. Dicen haber contactado con la Agencia Española de Protección de Datos para contar con su soporte.
Timehop, 21 millones de cuentas
La app cuyo objetivo es llevarte al pasado a través de recuerdos compartidos en cada una de las cuentas personales de las redes sociales tuvo un despiste muy grave para una compañia que trata con datos(info) tan personales: su servicio no contaba con múltiples causales de autenticación. Sus servidores fueron atacados y, la info que contenían sobre sus usuarios, comprometida.
Aunque Timehop negó que se hubiera accedido a mensajes privados o directos, datos(info) financieros o cualquier contenido de las publicaciones sociales. Los datos(info) extraídos por el fallo de seguridad han dañado a sus 21 millones de usuarios cuyos nombres completos, direcciones de correo electrónico y teléfonos móviles personales han sido expuestos.
Taringa 2017, 28 millones de cuentas
En agosto del año(365días) pasado, Taringa público que sufrieron un ataque que expuso no solo los datos(info) de sus usuarios sino además el code de su servicio. Con todo ello, los nombres de usuario, correos y passwords cifradas fueron comprometidos.
Servicios como LeakBase informaron que habían logrado una copia de la base de usuarios del conocido como Reddit℗ hispanohablante. ¿Lo peor? Que el cifrado de las passwords usaba el protocolo MD5, considerado un protocolo anticuado ya desde 2012. Fácilmente descifrable. A raíz de ello, inclusive se elaboró una vergonzosa relación de contraseñas usadas más habitualmente.
AI Type, 31 millones de cuentas
La compañia fundada en 2010 no fue apto de proteger los datos(info) de más de 31 millones de sus usuarios antes de empezar a cifrar sus versiones más modernas de la aplicación. Mientras tanto, fueron expuestos los datos(info) personales de todos esos usuarios tal y cómo descubrieron empresas de seguridad.
El popular teclado para Android℗ dejó un servidor sin proteger por password y permitió que terceras partes accedieran a datos(info) personales como nombres de usuario, correos electrónicos y otros datos(info) sobre la posición y el momento de descarga de la aplicación, a parte de otros datos(info) que estaban desprotegidos y en manera de texto plano.
Uber, 57 millones de cuentas
Le costó, pero Uber℗ acabó confesando, en octubre de 2016 (un mes(30dias) después del ataque), que su base de usuarios había sido expuesta y por tanto, los datos(info) personales de 57 millones de sus usuarios fueron comprometidos. Su resolución además fue poco ortodoxa.
Uber confirmó que había aparecido a pagar hasta 100.000 USD a los hackers encargados del ataque para que borraran la info obtenida y no dijesen nada del asunto a nadie. No les funcionó el acuerdo. La directora ejecutiva de Uber, Dara Khosrowshahi, declaró “Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber℗ que aprenderemos de nuestros errores”.
Tumblr, 65 millones de cuentas
En 2013 la red social Tumblr℗ se vio sacudida por la exposición de millones de cuentas de sus usuarios, con lo que empezaron a enviar mensajes de anuncio a todos ellos… tres años después, en mayo de 2016. Aseguraron que no se habían dado cuenta hasta ese momento. Cambiar la password en su servicio fue la única de las recomendaciones.
La compañia no dio cifras precisas en su momento, solo mencionaba el problema como una afectación para “un grupo de direcciones de correo electrónico de usuarios” de la que se dieron cuenta después de haber sido adquiridos por Yahoo. Su análisis no les dio “ninguna razón para meditar que esa info se hubiera usado para entrar a las cuentas personales”, lo que en principio no entrega demasiada confianza.
Dropbox, 68 millones de cuentas
La 1.ª noticia de la filtración de Dropbox℗ saltó en 2012 cuando Dropbox admitió haber padecido una brecha de seguridad. Nombres de usuario y passwords fueron robadas a un número indeterminado de usuarios. El número preciso se mantuvo desconocido hasta 2016, cuando finalmente se detectó que el problema lograba la cifra de 68 millones de cuentas.
Algunos medios, como Motherboard, accedieron a la lista de archivos que contenían los datos(info) filtrados junto a sus combinaciones de contraseñas. Entonces, sí: Dropbox, en un movimiento habitual, pidió a todos los usuarios que se apuntaron antes de 2012 y que no habían cambiado la password hasta ese momento que lo hicieran entonces para protegerse.
MyFitnessPal, 150 millones de cuentas
A principios de años la compañia Under Armour confirmó que había destapado que terceras partes llegaron a entrar a sus servidores sin autorización y, como resultado, 150 millones de cuentas de MyFitnessPal fueron expuestas por un agujero de seguridad que se explotó a finales de febrero.
La compañia solo tardó cuatro dias en lanzar que había destapado el agujero de seguridad y, a través de correos electrónicos y comunicaciones push de su aplicación, recomendó a sus usuarios que cambiaran sus passwords para proteger el acceso a sus cuentas.
LinkedIn, 164 milllones de cuentas
En un caso muy semejante al de Dropbox, en 2012 un ataque por parte de hackers abrió las puertas a los servidores de LinkedIn y, dentro, accedieron a los datos(info) de correo electrónico y passwords de sus millones de usuarios. Por entonces se hablaba de 6,5 millones de usuarios afectados, pero estaban ocultando una cifra mucho mayor: 164 millones, para ser precisos.
No se tuvo frecuencia del dato real de afectados hasta 2016. Cuatro años más tarde, se detectó que los usuarios y passwords filtradas estaban a la venta por 5 bitcoins en el mercado oscuro de la conocida como Deep Web, el internet(triplew) que hay más allá de los resultados de Google.
Yahoo, 3.000 millones de cuentas
En 2013 tuvo lugar la mayor filtración de datos(info) de usuarios de la historia de las aplicaciones. Ocurrió en los servidores de Yahoo℗ en un ataque de hackers que usaron técnicas de ingeniería social combinadas con phishing para poder engañar a un solo trabajador de la empresa.
A través de ese trabajador de Yahoo℗ y sus credenciales con privilegios de acceso a sistemas vitales de la empresa, los hackers lograron colarse en los servidores. Como una ficha de dominó, toda la base de usuarios de una gran compañía cedió ante el engaño perpetrado a uno de sus responsables. En ese momento se apuntó a la inteligencia rusa como responsable del ataque.
Entonces se hablaba de una 3.ª parte de los usuarios afectados, que pasó a ser 500 millones en 2014 y 1.000 millones poco después. En octubre pasado, Oath, la compañia que aglutina Yahoo℗ hoy en día después de haber sido comprada por Verizon, confirmó que todos sus usuarios fueron afectados por la brecha de seguridad: 3.000 millones de usuarios.
El pack de filtraciones
Esta filtración es especial. A mediados de 2016 se detectó que alguien se había destinado a juntar una base de datos con los nombres de usuario y passwords de todas las infiltraciones anteriores: 560 millones de cuentas. El archivo estuvo circulando por la red durante años y, finalmente, algunos medios se hicieron eco de ello.
Lo explicó además Troy Hunt, el creador del afamado servicio Have I Been Pwned, una de las mejores alternativas para estar al corriente de todas las infiltraciones de datos(info) de usuario que se hayan filtrado. Con el servicio es más sencillo saber si nuestras cuentas forman parte de la lista y, por tanto, debemos coger acciones para protegernos.
En Xataka Basics | Cómo saber si tus passwords se han filtrado en Internet
También te recomendamos
Filtrado el Nokia℗ 5.1 Plus: vuelve a apostar por el notch al estilo Nokia℗ X6
–
La noticia Apps que han puesto en peligro nuestra privacidad: las 11 mayores infiltraciones de datos(info) de la historia fue publicada originalmente en Xataka Móvil por Toni Noguera .