10 septiembre 2015 Internet, Seguridad

Ashley Madison

Hace unas semanas anunciábamos el ataque a Ashley Madison, un sitio web de citas que no ha salido bien parado. Un equipo de crackers había conseguido extraer información de millones de cuentas. Datos que habían sido publicados en un torrent y en múltiples lugares de la Deep Web. Por una parte, los usuarios podían respirar tranquilos: las contraseñas estaban cifradas. Aunque una noticia reciente deja en entredicho ese aspecto.

En un principio, las contraseñas se habían cifrado con bcrypt, un algoritmo bastante utilizado que garantizaba que iban a seguir en ese estado durante muchos años. El principal inconveniente se ha encontrado en la programación del sitio web de Ashley Madison: los problemas de programación que hay han permitido descifrar gran parte de las contraseñas. En solo diez días ya se saben los passwords de 11 millones de usuarios. Y el número sigue subiendo.

El equipo cracker encargado de esta tarea, denominado CunoSure Prime, ha estado revisando el material filtrado, incluyendo los correos electrónicos y el código fuente. El problema no estaba en el propio cifrado, sino en la cantidad de tokens y en la configuración del mismo, la cual ha permitido que el proceso de descifrado sea muy rápido. Sin ir más lejos, en Internet hay listas con las contraseñas más débiles.

De momento desconocemos el destino que tendrán las contraseñas crackeadas, por lo que avisamos de que, en cualquier momento, podrían ser publicadas en la red. Será mejor andar con cuidado. Ya sabéis que es bueno establecer passwords fuertes para evitar este tipo de problemas. Si no, se facilita el trabajo a los atacantes.

Vía | Ars Technica

También te puede interesar

Comentarios

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *