13 nov 2013

#Macrumors "pierde" 860.000 cuentas (con MD5)

El foro del sitio de noticias, información y rumores sobre MAC, MacRumors ha sido atacado y se han comprometido 860.106 cuentas de usuarios, los cuales eran mantenidos en una versión sin actualizar de vBulletin.

Los mensajes de correo electrónico y los hash MD5 de las contraseñas fueron potencialmente comprometidos por lo que se sugiere a los usuarios cambiar sus contraseñas inmediatamente en Macrumors y en todos los otros lugares donde la hayan utilizado.

Utilizar MD5 con o sin sal es un medio insuficiente para proteger contraseñas almacenadas. Incluso en 2012, el autor original del algoritmo de hash MD5 ha declarado públicamente que ya no se considera seguro para usar en sitios web comerciales.

El propietario de Macrumors , Arnold Kim, se disculpó por la intrusión y dijo que esto ocurrió porque se obtuvo acceso a una cuenta de moderador, que luego permitió escalar privilegios con el objetivo de robar las credenciales de inicio de sesión de los usuarios. Al parecer, se utilizó un método similar al utilizado en los foros de Ubuntu en julio, donde los atacantes habían accedido a la base de datos de 1,82 millones de miembros registrados.

Aún no hay novedades de si la base comprometida esté circulando en Internet.

Actualización: los atacantes han dejado un post en Macrumors con la descripción de lo que hicieron y cómo lo hicieron.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!