Gran agujero de seguridad

En el sitio web Have I been pwned? podemos averiguar si nuestra cuenta en algún sitio web famoso como Adobe, Sony o Yahoo! se ha visto comprometida debido a alguno de los recientes ataques que han sufrido.

El peor de los ataques es el sufrido por Adobe pero ha habido más:

The big one. In October 2013, 153 million accounts were breached with each containing an internal ID, username, email, encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text. The unencrypted hints also disclosed much about the passwords adding further to the risk that hundreds of millions of Adobe customers already faced.

En Adobe credentials and the serious insecurity of password hints nos muestran un pequeño análisis de los datos que se han publicado. Y en The only secure password is the one you can’t remember nos dan algunos consejos para lograr contraseñas seguras.

Por cierto, este es el correo de disculpa que manda Adobe:

Información importante sobre el restablecimiento de la contraseña

Como anunciamos el día 3 de octubre, Adobe ha descubierto que se han producido ataques en nuestra red que han consistido en el acceso ilegal y la extracción de una base de datos de backup con las identificaciones ID de Adobe y contraseñas cifradas. Escribimos para informarte de que tu ID de Adobe se encontraba en la base de datos extraída por los atacantes. Sin embargo, lo más importante, es que tu contraseña actual no estaba incluida. Debido a esto, no la hemos restablecido. No tenemos motivos para pensar que tu cuenta de ID de Adobe esté en peligro o que se hayan realizado actividades no autorizadas en ella. La base de datos tomada por los atacantes procedía de un sistema de backup con registros desactualizados, por lo que se había indicado su desmantelamiento. El sistema de autenticación de Adobe de registros, que cifra criptográficamente las contraseñas de los clientes, no fue el origen de la base de datos extraída.

Sin embargo, si utilizas tus contraseñas antiguas en otros sitios web, deberías cambiarlas. También te recomendamos que sigas las prácticas recomendadas de contraseñas para asegurarte de que la actual sea segura:

• No reutilices contraseñas: La contraseña para tu cuenta de ID de Adobe debe ser única. No reutilices una contraseña anterior de tu ID de Adobe ni una contraseña que estés utilizando en otro sitio web.
• Asegúrate de que tu contraseña es difícil de adivinar: Tu contraseña debe contener al menos ocho (8) caracteres de longitud. Esta debe incluir una mezcla de diferentes conjuntos de caracteres, como letras mayúsculas (A-Z), letras minúsculas (a-z), dígitos (0-9) y caracteres especiales (# $ % & – _ { }). No debe utilizar ni la totalidad ni parte de tu nombre o de tu ID de Adobe.

Lamentamos profundamente cualquier posible molestia que este incidente pueda ocasionarte. Valoramos la confianza de nuestros clientes y seguiremos trabajando con empeño para evitar que incidentes como este vuelvan a repetirse en el futuro. Si tienes alguna duda, puedes obtener más información visitando la página de atención al cliente, que encontrarás aquí.

Equipo de atención al cliente de Adobe