La semana pasada estuvo marcada por dos importantes filtraciones de datos personales de los usuarios. Dell ha
detectado una intrusión en su propia red. Las direcciones y los nombres de los clientes se filtraron, así como las contraseñas hash que se restablecieron por la fuerza para todos los usuarios.
La fuga en la cadena de hoteles Marriott resultó ser mayor. En 2014, los crackers obtuvieron acceso a la base de datos de clientes de Starwood Hotels: esta cadena hotelera fue adquirida por Marriott en 2016.
El acceso no autorizado a la base de datos de clientes se descubrió solo en septiembre de este año. Según datos preliminares, 500 millones de clientes de Starwood han sufrido, y 327 millones de invitados han filtrado nombres, direcciones físicas y electrónicas, números de teléfono y pasaportes, fechas de reserva y otra información privada. Esta es una fuga muy grave, comparable a un
ataque a un servicio de Yahoo.
Una
publicación razonablemente discreta en el sitio web de Dell dice que detecta un ataque el 9 de noviembre. Durante más de tres semanas, no fue posible establecer de manera confiable el hecho del robo de la base de datos del usuario; solo se sabe que hubo acceso no autorizado a él. Forzar contraseñas para todos los clientes de la compañía registrados en Dell.com es, por lo tanto, una precaución adicional. La compañía alienta a sus usuarios a usar contraseñas seguras y no reutilizar contraseñas en diferentes servicios.
Es interesante ver las
recomendaciones de Dell para contraseñas seguras. Al menos 8 caracteres, letras mayúsculas y minúsculas, al menos un número. No use palabras obvias, como el apellido o el nombre de la calle. Se propone crear una frase de contraseña, a partir de las primeras letras para crear una contraseña. La fiabilidad de la protección con contraseña mediante el uso de hashing en el lado de la empresa también se explica en detalle: el algoritmo específico no se revela, pero se informa que se probó durante un examen independiente.
En general, Dell muestra un buen ejemplo de una reacción a un incidente cibernético: se notificó a los clientes, se detuvo la fuga de datos, contrataron a una empresa para una auditoría de seguridad y se notificó a la policía. Y todo esto con una (presumiblemente) pequeña escala de fuga de datos, aunque esto no se trata solo de contraseñas: la lista de clientes de Dell también tiene valor y, por desgracia, puede usarse para ataques adicionales que ya están sobre ellos.
Pero Marriott es mucho más complicado. Según la compañía, el acceso no autorizado a la base de datos de Starwood Hotels, una organización independiente en ese momento, se obtuvo en 2014, y la compra de una cadena hotelera competitiva no ayudó a detectar la fuga de datos. Solo el 8 de septiembre de este año, cierto "sistema de seguridad interno" registró un intento de acceder a la base de datos. Luego estaba la investigación, durante la cual se encontró una copia encriptada de la base de datos: supuestamente fue copiada para su posterior exfiltración de la red corporativa. El hecho de descargar la base de datos no se registró, pero dado que la red corporativa fue pirateada durante cuatro años completos, no hay duda de que los atacantes tuvieron acceso a los datos de los clientes.
¿Y a cual? Fue posible evaluar el daño después de descifrar una copia de los datos. Se estima que 500 millones de clientes de Starwood se han visto afectados. 327 millones de registros contienen información completa sobre el cliente: cuando ingresó y salió del hotel, dirección postal, número de pasaporte, etc. La información "sobre varios clientes" también incluía información de pago cifrada: número de tarjeta de crédito y fecha de vencimiento. Es probable que los crackers tengan acceso a información que permita descifrar estos detalles de pago. Para los restantes (presumiblemente) más de 100 millones de clientes, se filtró información limitada sobre el nombre y la dirección.
Se puede suponer que fue la integración de una empresa recién adquirida, incluidos sus servicios de información, o más bien la falta de ella, lo que se convirtió en un problema: Starwood continuó operando como una estructura independiente después de la compra (esto fue en parte por lo que los hoteles pertenecientes a la cadena Marriott no se vieron afectados). Está claro que las transacciones comerciales tan grandes toman mucho tiempo, y es posible que se descubriera una fuga de datos solo durante el intento de fusionar dos sistemas de TI diferentes. Prometen notificar a los clientes afectados por correo electrónico y ofrecer una suscripción gratuita a un servicio que supervisa la aparición de datos privados en la red. También se promete la infraestructura corporativa mejorada de Starwood.
La fuga de datos de Marriott tiene mucho en común con el robo de identidad de los usuarios de correo electrónico de Yahoo. Luego, también, se detectó una fuga de datos de aproximadamente 500 millones de usuarios, el hack también no se pudo detectar durante mucho tiempo: la fuga supuestamente ocurrió en 2014 y se detectó en 2016. En octubre del año pasado, se conoció otro incidente, durante el cual supuestamente se filtraron los datos de los tres mil millones de usuarios de la compañía. Finalmente, Yahoo en ese momento estaba en el proceso de negociar la venta del negocio de Verizon, pero la filtración se conoció antes de la transacción, y no después. Como resultado, el valor de la compañía durante la adquisición cayó en $ 350 millones; considere el daño financiero directo del robo cibernético.
Incluso si la información de la tarjeta de crédito de Starwood no se ha visto afectada, los delincuentes cibernéticos están monetizando activamente el acceso a las cuentas de lealtad de la cadena hotelera. En un pequeño
estudio sobre las tasas de ciberdelincuencia del experto de Kaspersky Lab, David Jacobi, puede hacerse una idea del valor de las cuentas de varios servicios en el mercado negro. Las cuentas de Netflix, Spotify, Steam cuestan un par de dólares cada una en el comercio minorista, y por unos pocos centavos, si es a granel. Por $ 10, puede obtener 100 mil combinaciones del correo electrónico y la contraseña de los usuarios de un país en particular. El cambio regular de contraseñas y el uso de una contraseña única para cada servicio definitivamente beneficiará a todos, independientemente de las noticias sobre el próximo gran hack.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.