Una investigación del analista de seguridad informática Bryan Krebs ha revelado que el sitio para encontrar pareja Cupid Media ha mantenido escondida una intrusión de seguridad desde enero.
El ataque afectó a 42 millones de personas relacionadas con este sitio australiano y expuso sus datos personales, incluyendo sus credenciales de acceso, nombres, cuentas de correo electrónico y fechas de nacimiento. Las contraseñas se encontraban guardadas sin codificación, por lo que los atacantes no tuvieron ningún obstáculo en entenderlas una vez que accedieron a los sistemas de la empresa.
“En enero, detectamos actividades sospechosas en nuestra red”, explicó el director ejecutivo de la empresa, Andrew Bolton. “En base a la información que teníamos en el momento, hicimos lo que creímos apropiado: notificamos a los clientes y reiniciamos las contraseñas de un grupo específico de cuentas de usuarios”.
Este grupo específico se limitaba a los miembros actuales del sitio web, lo que fue una de las mayores críticas no sólo porque mantuvo desinformado al resto de la comunidad de Internet, sino también porque no avisó del peligro a quienes alguna vez pusieron su información en manos de este sitio pero habían suspendido sus cuentas.
Es común que los usuarios repitan la misma contraseña en más de un sitio web o servicio, por lo que esta amenaza pudo haberse expandido hacia otros epicentros de Internet con facilidad. Sin ir más lejos, hace algunos días, Facebook se dio el trabajo de comparar las contraseñas filtradas en un ataque a Adobe con las de su propia base de datos para obligar a los usuarios afectados a que cambien sus contraseñas de Facebook.
Los análisis de la información filtrada ilustraron, una vez más, la inseguridad de las contraseñas que suelen escoger las personas: la gran mayoría de las cuentas sigue usando contraseñas fáciles de recordar como “123456”.
Además, la investigación del experto en seguridad reveló que casi 18 millones de usuarios abrieron sus cuentas usando una dirección de correo de Yahoo; 13 millones lo hicieron con una cuenta de Hotmaill y 9.844 personas, de forma sorprendente, utilizaron cuentas de correo del dominio .gov para hacerse miembros de esta página de citas. Otros 56 usuarios fueron todavía más explícitos y se registraron al sitio con una cuenta dhs.gov, dando a entender que trabajan en el Departamento de Seguridad Nacional de Estados Unidos.
Fuentes:
Stupid Cupid: Millions used password ‘123456’ in massive e-dating breach SC Magazine Australia
Cupid Media hack exposed 42m online dating passwords The Guardian
Dating site Cupid Media lost 42 million plain text passwords, didn’t tell anyone IT Pro Portal
Cupido esconde una intrusión informática que afectó a 42 millones de usuarios