Houzz, un inicio de mejoras para el hogar valorado en $ 4 mil millones que recientemente despidió al 10 por ciento de su personal, ha admitido una violación de datos.
Un lector se comunicó con TechCrunch el jueves con una copia de un correo electrónico enviado por la empresa. No dice mucho, como por ejemplo, cuándo ocurrió la violación, o si un pirata informático es el culpable o si fue una exposición de datos que la empresa pudo haber evitado.
La portavoz de Houzz, Gabriela Hebert, no hizo comentarios más allá de las Preguntas frecuentes publicadas en el sitio web de la compañía, citando una investigación en curso.
En esas Preguntas Frecuentes, la compañía dijo que “recientemente se enteró de que un tercero no autorizado obtuvo un archivo que contenía algunos de nuestros datos de usuario”. Agregó: “Inmediatamente iniciamos una investigación y nos comprometimos con una firma forense líder para ayudar en nuestra investigación. , contención, y esfuerzos de remediación “.
La compañía dijo que estaba notificando a todos sus usuarios que podrían haber sido afectados.
Houzz dijo que cierta información públicamente visible del perfil de Houzz de un usuario, como el nombre, la ciudad, el estado, el país y la descripción del perfil, junto con los identificadores internos y los campos “que no tienen un significado discernible para nadie fuera de Houzz”, como la región y la ubicación del usuario y si tienen una imagen de perfil, por ejemplo, dijo la compañía.
La compañía también dijo que también se tomaron nombres de usuario y contraseñas codificadas.
Houzz dijo que las contraseñas fueron codificadas y procesadas usando un algoritmo de hashing de una sola vía, pero no proporcionó detalles sobre qué tipo de algoritmo de hashing se usó. Algunos algoritmos, como MD5, son antiguos y están desactualizados, pero aún están en uso, mientras que los nuevos algoritmos de hash, como bcrypt, son más fuertes y pueden ser más difíciles de descifrar, dependiendo de la cantidad de rondas por las que pasan las contraseñas.
Independientemente, la compañía recomendó a los usuarios cambiar sus contraseñas.
No se tomó información financiera, de acuerdo con las preguntas frecuentes.
La compañía se burló del año pasado por enviar correos electrónicos a los usuarios alertándoles de cambios obligatorios en sus políticas de privacidad antes de la ley de Regulación General de Protección de Datos (GDPR) introducida en 2018, diciendo que “valora[s]”La privacidad de sus clientes. “Sus líneas iniciales ofrecen una visión de la forma en que la política legal y la experiencia del usuario están chocando con las nuevas regulaciones”, dijo Fast Company.
Pero no está claro si la compañía enfrentará multas, hasta un cuatro por ciento de sus ingresos globales, como resultado de la regulación, solo que la compañía “notificó a las autoridades de la UE dentro del período legal”, dijo el portavoz.
Otro día, otra brecha.
Source link