Ey, eBay! Tengo cinco preguntas para ti…

por Rik Ferguson, Vice President of Security Research

Si está haciendo una lista de violaciones de datos de alto nivel, ahora tiene un nuevo nombre que añadir: eBay. En un artículo en la sección “en las noticias ” de su sitio web eBay aclaró en cierta medida, la magnitud de la brecha, aunque incluso el título parece incapaz de decir las cosas como son.

“La base de datos fue comprometida entre finales de febrero y principios de marzo, incluido nombre de los clientes de eBay, contraseña cifrada, dirección de correo electrónico, dirección física, número de teléfono y fecha de nacimiento”
Aunque las investigaciones están, por supuesto, aún en curso, este artículo indica que eBay está relativamente convencido de que el acceso no autorizado era sólo a una base de datos, o al menos la redacción del artículo da a entender eso. De momento, si es un usuario de eBay, necesita cambiar su contraseña allí y si ha utilizado la contraseña en cualquier otro sitio web, también va a tener que cambiarlo allí (sí, otra vez ). Por desgracia el cambio de nombre o dirección no es muy fácil, por lo que me temo que tendrá que permanecer comprometida.

Algunas preguntas para ti, eBay (sí, estoy enfadado, son MIS datos, los que YO te confié)
1 – Si todos estos datos sensibles se almacenan en una sola base de datos, ¿por qué no está cifrada. De hecho, ¿por qué no se puede cifrar incluso a través de múltiples bases de datos? Observo con disgusto que ” toda la información financiera PayPal está cifrada”, ¿aún estamos en un sistema a dos niveles?
2 – Si vas a decirme que estaba cifrado, pero el atacante tiene acceso a las credenciales de base de datos robados, ¿por qué no existía ninguna autenticación de dos factores para tener acceso a las joyas de la corona ?
3 – ¿Por qué sólo existen credenciales comprometidas para acceder a la red corporativa ? Una vez más, ¿qué pasa con el multifactor?
4 – ¿Por qué ha tardado tre meses una organización con los recursos de eBay en darse cuenta de que se ha accedido a los datos indebidamente por no hablar de que exfiltración? ¿Dónde están los sistemas de detección de incumplimiento?
5 – ¿Cómo fue “cifrada” mi contraseña? Quiero detalles. Quiero saber qué algoritmo y cómo lo alteraste. Quiero saber las posibilidades reales de que mi contraseña sea forzada, para que pueda hacer una evaluación de mi nivel de exposición y aconsejar lo mejor posible a los demás.
Pregunta extra para conseguir puntos extra

– ¿Cómo fueron las cuentas iniciales comprometidas y qué van a hacer para asegurarse de que esto no vuelva a ocurrir?
La seguridad efectiva ya no va de diseñar la arquitectura que mantenga al atacante fuera de forma permanente, eso es una quimera. Si quieren entrar, van a entrar. La seguridad efectiva consiste en aceptar la realidad de comprometer, poniendo sistemas y los procesos de tal forma que permitan descubrir y reaccionar en el momento oportuno y de manera crucial sobre qué va a hacer el atacante de tal forma que le resulte muy difícil salir con lo que venía a buscar ¿Cómo la puntuaría?
Escribe al final de su comunicado de prensa: “La misma contraseña nunca debe ser usada en múltiples sitios o cuentas”.Estoy de acuerdo . Voy a terminar mi “declaración” con esto.
Los datos sensibles, sobre todo los que usted custodia, siempre deben estar cifrados, sin excepciones.

Ah, y si cuando me envíe su email, me ofrezca un enlace para hacer clic para cambiar mi contraseña, le excluiré definitivamente de mi lista de amigos a los que felicitar por Navidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*