martes, diciembre 12, 2017

Notificación de incumplimiento de datos

Un investigador de seguridad contactó al Director de Operaciones (COO) de Imgur sobre la violación de datos el 23 de noviembre. Luego, el COO notificó al CEO / fundador de la compañía, así como al Vicepresidente de Ingeniería. Luego, el vicepresidente de ingeniería establece canales de comunicación más seguros para que puedan intercambiar información de violación de datos de manera más libre. El VP también comenzó a validar los datos para verificar y ver si pertenecían a los usuarios de Imgur.

En la mañana del 24 de noviembre, la compañía confirmó que los datos de 1.7 millones de cuentas, incluyendo direcciones de correo electrónico y contraseñas, estaban en peligro. Sin embargo, los datos comprometidos no incluían información de identificación personal (PII), como nombres reales, direcciones y números de teléfono, porque Imgur no solicita esa información a sus usuarios.

¿Cómo pasó?

Imgur dijo que aún no sabe cómo sucedió la violación de datos, pero ha cifrado contraseñas y hash con SHA-256. El descifrado por fuerza bruta debería ser posible, a menos que los usuarios tuvieran contraseñas largas y únicas (que probablemente no sea el caso para la mayoría de los usuarios). Solo el año pasado Imgur comenzó a seguir las mejores prácticas de la industria para cifrar contraseñas con el algoritmo “bcrypt”.

Mitigaciones

Imgur comenzó a notificar a sus usuarios sobre la violación de datos aconsejándoles actualizar sus contraseñas el 24 de noviembre. La compañía también les dijo a los usuarios que siempre usen diferentes combinaciones de direcciones de correo electrónico y contraseñas para que cuando una violación de datos ocurra en un proveedor de servicios, no afectar otras cuentas en línea, también.

Una cosa a tener en cuenta de esta violación de datos es que PII no pudo ser obtenida por los piratas informáticos, porque no existía ninguno. La Unión Europea se ha estado moviendo en una dirección similar de “privacidad por diseño” últimamente, requiriendo que las compañías solo tengan la información que sus servicios necesitan para funcionar.

En el caso de Imgur, solo se necesitaban el correo electrónico y una contraseña, por lo que cuando se produjo la violación de la información, no se pudo obtener nada más. Esta podría ser una lección para otras compañías: si realmente quieren proteger los datos de los usuarios, es posible que en primer lugar no deseen recopilar demasiada información.

 

Fuente: blog Imgur

Profesional de T.I. con varios años de experiencia, entusiasta del Hardware y Gamer de hueso colorado. Administrador y Editor en Jefe del sitio HardwareMX.

0 Comments

A %d blogueros les gusta esto:
Ir a la barra de herramientas