El sitio de reunión moda de las niñas fugas millones de contraseñas de texto sin formato

Una avalancha de contraseñas en texto plano ha sido, y a partir del lunes por la tarde era todavía, que deriva de un sitio de reunión para las adolescentes.

Como Ars Technica informa, los operadores de i-Dressup no habían respondido a los intentos del editor Dan Goodin para informarles de que un cyberintruder ya se ha descargado más de 2,2 millones de las credenciales de la cuenta almacenados inadecuadamente.

De acuerdo con Goodin, el hacker dijo que le tomó alrededor de tres semanas para obtener los datos.

Hay mucho más allá que el 2,2 millones de conjunto de credenciales: no hay nada que se interponga entre los informes, otros intrusos y toda la base de datos de poco más de 5,5 millones de entradas.

El que habló con Ars dijo que él había conseguido el acceso al sitio i-Dressup mediante el uso de un ataque de inyección SQL que explota las vulnerabilidades del sitio.

Para tener un sitio de almacenamiento de contraseñas en texto plano es como ponerse los pantalones de campana de poliéster y saltando en la máquina de forma de la espalda.

Como de Naked Security Paul Ducklin explica:

contraseñas en texto plano ya se passe en 1976. Sin embargo, aquí estamos, 40 años después, los mismos errores – que realmente necesitamos para aprender nuestras lecciones de seguridad informática más rápido que eso!

i-Dressup ciertamente no es el único con este paso en falso, por supuesto.

El mes pasado, el servicio de anuncios de pago por clic ClixSense una vía de agua, sangrando por 6,6 millones de contraseñas en texto plano.

Hace unas semanas, casi 100 millones de contraseñas en texto plano fueron arrancados del sitio ruso Rambler, un portal de Internet más populares y el servicio de correo electrónico gratuito.

Troy Hunt, que mantiene el portal de la conciencia de violación de datos hace que estoy Pwned , tampoco ha sido capaz de obtener una respuesta del i-Vestir.

No hay ninguna palabra sobre el incumplimiento de la empresa en su página de Facebook , además de un comentarista publicar un enlace al artículo de Ars.

Me acerqué a la compañía en el Messenger y a actualizar este post si alguien se pone de nuevo a mí.

Por desgracia, eso es mirar poco probable: Ars ha estado esperando 6 días para una respuesta. Así que no sólo es i-Dressup ejecuta un sitio inseguro para las muchachas adolescentes – a pesar de las seguridades en contrario – pero es que no responde a las comunicaciones sobre las consecuencias.

Mientras tanto, si se utiliza i-Dressup o tienen amigos o familiares jóvenes que lo hacen, lograr que cambien su contraseña inmediatamente.

Mejor aún, tal vez seguir el consejo de Goodin y considerar el cierre de las cuentas del todo.

Mantenga un ojo hacia fuera para los correos electrónicos fraudulentos que podría aprovechar la información de contacto, y si usted o alguien que usted conoce ha utilizado la misma contraseña en otros sitios (una cosa muy peligrosa de hacer), cambiar esas credenciales inmediatamente. Véase más abajo para qué eso es tan importante.

Qué hacer

  • No utilice la misma contraseña en dos sitios diferentes. Incluso si elige una contraseña de súper fuerte , sólo se necesita un sitio descuidado a filtrarse esa contraseña en forma directamente utilizable.
  • No guarde las contraseñas en texto plano. Esta es una mala práctica de seguridad , y ha sido tanto innecesaria e inaceptable desde hace años.
  • No retirar un servidor, pero dejarlo activo en su red de producción. Eso es como la sustitución de todas las cerraduras de su casa, a excepción de la cerradura de la puerta de atrás que ya conoce está roto.
  • No hacer afirmaciones sin fundamento una vez que llegue en torno a la emisión de una notificación de violación. Si quiere convencer a los usuarios que están ahora tomando seriamente la seguridad , es necesario proporcionar alguna evidencia para que tengan una razón para creer que usted.