Hasta 42 millones de personas en todo el mundo han tenido sus nombres, direcciones de correo electrónico, contraseñas y fechas de nacimiento. expuestos a los delincuentes en línea, el resultado de una violación de datos en enero en la empresa australiana de citas en línea Cupid Medios de comunicación.

Ha habido violaciones de datos más importantes, pero quizás ninguna peor. Cada una de las 42 millones de contraseñas de Cupid Media se almacenó en texto sin cifrar.

Debido a que la mayoría de las personas reutilizan las contraseñas, muchas de esas contraseñas robadas desbloquearán cuentas de usuario en otros servicios en línea. (Cupid Media no tiene ningún vínculo con el servicio de citas en línea OK Cupid con sede en Nueva York).

De esos 42 millones de cuentas comprometidas de Cupid Media, 1,9 millones, o el 4,5 por ciento del total, utilizaron la contraseña "123456"; 1,2 millones utilizaron "111111". Sin embargo, dado que todas las contraseñas no estaban cifradas, incluso los usuarios que usaban contraseñas seguras ahora corren un alto riesgo de

el robo de identidad y secuestro de cuentas.

En una publicación de hoy (nov. 20), bloguero de seguridad Brian Krebs reveló que había encontrado los datos de Cupid Media enterrado en el mismo servidor ciberdelincuente que había almacenado los datos robados de Adobe Systems, PR Newswire y el National White Collar Crime Center. (Los 150 millones de registros de usuarios de Adobe robados tenían un cifrado de contraseña tan deficiente que Facebook decidió alertar a sus propios usuarios que también apareció en el conjunto de datos de Adobe).

MÁS: Violación de datos de Adobe: cómo protegerse

Andrew Bolton, director gerente de Cupid Media, le dijo a Krebs que su empresa había sufrido una violación de datos en enero de 2013.

En ese momento, Bolton le dijo a Krebs, Cupid Media tomó "lo que creímos que eran las acciones apropiadas para notificar a los clientes afectados y restablecer las contraseñas de un grupo particular de cuentas de usuario".

Sin embargo, como señaló Krebs, "no pude encontrar ningún registro público, en los medios de comunicación o en otros lugares, sobre esta violación de enero de 2013".

Sitios de citas para todos los gustos

Cupid Media, con sede en una reluciente torre de oficinas en Southport, Queensland, Australia, opera más de 30 sitios de citas en línea en todo el mundo que atienden a diferentes regiones, estilos de vida y sabores.

Entre sus sitios se encuentran AsianDating.com, BBWCupid.com, ChristianCupid.com, GayCupid.com, InterracialCupid.com, MilitaryCupid.com, Muslima.com, PinkCupid.com, RussianCupid.com, SingleParentLove.com y UkraineDate.com.

Se puede encontrar la lista completa de sitios en esta página de Cupid Media en el menú desplegable "Elegir un sitio". Si alguna vez se registró en alguno de esos sitios, cambie su contraseña inmediatamente en ese sitio y en cualquier otro sitio en el que haya utilizado la misma contraseña.

Krebs se acercó a algunas de las personas que figuran en los registros robados de Cupid Media, y quienes respondieron confirmaron que Krebs sí tenía sus contraseñas. (Krebs no mencionó si Cupid Media les había notificado).

Bolton sugirió que Krebs pudo haber "accedido ilegalmente" a los registros de usuarios, pero luego describió la respuesta a largo plazo de la compañía.

"Posteriormente a los eventos de enero", dijo Bolton a Krebs, "contratamos consultores externos e implementamos una serie de mejoras de seguridad, que incluyen hash y salazón de nuestras contraseñas".

Cómo almacenar correctamente las contraseñas

Hash y salazón son las precauciones de seguridad mínimas que se deben tomar al almacenar contraseñas de usuario. El hash ejecuta las contraseñas a través de un algoritmo matemático complejo e irreversible que da como resultado "hash", cadenas numéricas largas de longitud uniforme de caracteres.

Salting agrega un conjunto de caracteres secretos a cada contraseña antes del hash, de modo que el hash de un sitio de una contraseña determinada no coincida con el de otro sitio.

En la mayoría de los casos, los sitios web que tienen contraseñas hash almacenan el hash, no la contraseña original. Para verificar la contraseña de un usuario, un sitio web ejecuta una contraseña a través del algoritmo hash cada vez que el usuario ingresa, luego hace coincidir el hash resultante con el hash almacenado generado cuando el usuario registró por primera vez que contraseña.

Sin embargo, todos esos cálculos y búsquedas de bases de datos pueden resultar costosos y requerir mucho tiempo. Es por eso que algunas empresas toman atajos y no codifican contraseñas. Simplemente es más fácil no hacerlo, hasta que se produzca una filtración de datos.

"Es muy probable", escribió Krebs sobre Cupid Media, "que los registros que he visto son del Incumplimiento de enero, y que la empresa ya no almacena la información y las contraseñas de sus usuarios en texto."

Siga a Paul Wagenseil en @snd_wagenseil. Siga la guía de Tom en @tomsguide, en Facebook y en Google+.

  • Revisión de Xbox One
  • 7 formas de bloquear su privacidad en línea
  • Los 10 mejores servicios de protección contra robo de identidad

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.