Ashley Madison: Constraseñas fáciles de Hackear

ashley-madison-site

Hace algunos meses atrás, la información de 37 millones de usuarios de Ashley Madison fue robada por un grupo de hackers que querían revelar que la empresa dueña del sitio, Avid Media Life, no borraba los datos personales de los usuarios. Hace tres semanas, el grupo de ladrones ciberneticos que robo los datos y que se denomina a sí mismo como “The Impact Team”, colgó la información robada en un archivo BitTorrent de 9,7 gigabytes. Dicho archivo, según afirmó el sitio de seguridad digital Ars Technica, contenía toda la información que los infieles de Ashley Madision incluían en sus perfiles: altura y peso de los usuarios, direcciones postales, e-mails, fotos de desnudos, fantasías sexuales, e información relativa a las transacciones efectuadas con tarjetas de crédito.

Hoy, el grupo Cynosure Prime reveló información que viene a causar aún más daño a la reputación de Ashley Madison y a Avid Media Life. El comunicado de Cynosure Prime afirma que casi todos los tokens de autenticación usados en la seguridad del sitio están protegidos por algoritmo de hashing MD5, y no por el bcrypt como lo afirmaba la compañía y que cuenta con mayores estándares de seguridad. Esto a su vez, ha permitido que el grupo Cynosure descifre fácilmente más de 11 millones de contraseñas de usuarios del sitio, revelando al mismo tiempo otra gran falla de seguridad del sitio de infieles más popular del mundo.

Según el grupo, al tipo de algoritmo usado por el sitio, se le suma otro factor importante que influye en la facilidad para descifrar las contraseñas: los usuarios hicieron caso omiso de las recomendaciones de seguridad. Por ejemplo, todos sabemos que cuando creamos una cuenta en cualquier sitio web, se nos recomienda usar una combinación de entre 6 a 12 dígitos, combinando mayúsculas y minúsculas, números y símbolos. El grupo Cynosure Prime afirmó que los usuarios de Ahsley Madison no cumplían con los requisitos mínimos de seguridad al establecer sus contraseñas, y usaban palabras sencillas que generalmente tenían que ver con sexo como: “affair,” “pussy,” “blowjob,” “midnight,” entre otras. Aunque Cynosure Prime ha dejado claro que no revelará las más de 11 millones de contraseñas descifradas, con la información incluida en su comunicado, muchos otros expertos en algoritmos de seguridad podrán ahora descifrar las contraseñas y entonces sí, esa información podría llegar a manos equivocadas.