Hace apenas dos semanas Tumblr publicó un comunicado en el que reconocía que alguien había tenido acceso a "una colección de direcciones de email y contraseñas cifradas de usuarios de Tumblr de principios de 2013, previas a la adquisición por parte de Yahoo."
Tumblr aseguraba que había investigado la brecha de seguridad y tomado las medidas oportunas, pero sin llegar a dar detalles sobre cuántas contraseñas en total se habían filtrado. Ahora, el experto en seguridad Troy Hunt afirma que podrían ser más de 65 millones de cuentas de Tumblr las que se habrían visto afectadas por esta filtración.
Y Troy Hunt sabe de lo que habla. Es el administrador de Have I Been Pwned, una web donde puedes comprobar si tu dirección de email ha sido víctima de alguna filtración de este tipo, y se dedica a adquirir las bases de datos con información de usuarios que los ciberdelincuentes obtienen de esos ataques y luego ponen a la venta en Internet.
Lógicamente, la idea de Hunt no es hacer negocio con esos datos, sino usarlos para alimentar su propia web y permitir así a los usuarios comprobar si su cuenta ha sido afectada. HIBP se lanzó en 2013, y a día de hoy ya cuenta con unas 10.000 visitas al día y más de 350.000 personas suscritas a un servicio de aviso en caso de que su email aparezca en una de esas bases de datos.
El caso de Tumblr
Troy Hunt adquirió los datos filtrados de Tumblr, y pudo comprobar que había un total de 65.469.298 cuentas afectadas. Dicho número coloca a esta filtración de Tumblr como la tercera más grande de toda la historia, por detrás de Adobe. El récord, de momento, lo sigue sosteniendo LinkedIn, con unos 164 millones de cuentas afectadas.
What a great way to start this week. /CC @troyhunt @haveibeenpwned pic.twitter.com/CJ5FgbPwVp
— Mantas (@mvilcis) May 30, 2016
Los datos de Tumblr incluyen las direcciones de correo electrónico y las contraseñas, aunque éstas últimas no están en texto, sino cifradas mediante un proceso de hash que las convierte en una secuencia de números, y con una serie de bytes de información aleatoria adicional añadidos al final como medida extra de seguridad (lo que se conoce como "sal" en criptografía) aunque no hay detalles sobre el algoritmo concreto que se ha usado.
Por su parte, los responsables de Tumblr no han querido confirmar la cifra proporcionada por Hunt. Lo único que han declarado, mediante una portavoz de la compañía, es que pedirán a todos los usuarios afectados que cambien su contraseña, y que han empezado a tomar una serie de medidas orientadas a mejorar la seguridad del sitio, como la verificación en dos pasos y un programa de bug bounty para descubrir más fallos de seguridad.
En palabras de la portavoz de Tumblr, "la empresa está comprometida con la seguridad de sus usuarios, y estamos constantemente innovando en nuestros esfuerzos ofensivos y defensivos para mantener a nuestros usuarios seguros". Por otro lado, reconocen que los ciberdelincuentes cada vez tienen métodos más refinados, y que un 100% de seguridad no es posible en ninguna plataforma.
Datos antiguos esperando a ser descubiertos
Lo más curioso del caso de Tumblr, según cuenta el propio Hunt en su blog, es que esta filtración se une a otros recientes que parecen haber creado una especie de patrón en las últimas semanas.
Además de Tumblr, Hunt habla de otras brechas de seguridad recientes como la de LinkedIn (con datos que van hasta 2012), la de Fling (cuyos datos llegan a 2011) o la de MySpace. De ésta última Hunt aún no tiene la fecha, pero siendo MySpace podemos intuir que será bastante antigua.
Viendo esta tendencia, cabe preguntarse qué otras bases de datos estarán por ahí, esperando a salir a la luz, que no hayamos visto aún y ni siquiera podamos imaginar.
Vía | The Daily Dot
En Genbeta | 'Hacked?' Con esta app universal de Windows 10 sabrás si tu correo ha sido hackeado
