El servicio de compras en línea Instacart dice que las contraseñas reutilizadas son las culpables de una reciente serie de violaciones de cuentas, que provocaron el robo y la venta de datos personales de cientos de miles de clientes de Instacart en la web oscura.
La empresa publicó una declaración el jueves por la noche diciendo que su investigación mostró que Instacart “no se vio comprometida ni violada”, pero señaló el relleno de credenciales, donde los piratas informáticos toman listas de nombres de usuario y contraseñas robadas de otros sitios violados y se abren paso a la fuerza en otras cuentas.
“En este caso, parece que los malos actores pudieron usar nombres de usuario y contraseñas que se vieron comprometidas en violaciones de datos anteriores de otros sitios web y aplicaciones para iniciar sesión en algunas cuentas de Instacart”, se lee en el comunicado.
Viene la declaración después de que BuzzFeed News informara que los datos de más de 270.000 cuentas de usuario estaban a la venta en la web oscura, incluido el nombre del usuario de la cuenta, la dirección, los últimos cuatro dígitos de su tarjeta de crédito y sus historiales de pedidos de esta semana.
Instacart dijo que los datos robados representan una fracción de los “millones” de clientes de Instacart en los EE. UU. Y Canadá, dijo un portavoz a BuzzFeed News.
Pero, ¿quién es realmente el culpable aquí: los clientes por reutilizar las contraseñas o la empresa por no hacer más para protegerse contra la reutilización de contraseñas?
Por supuesto, es un poco de ambos. Cualquier usuario de Internet debe usar una contraseña única en cada sitio web e instalar un administrador de contraseñas para recordarlas donde quiera que vaya. Eso significa que si los piratas informáticos se apropian de una de sus contraseñas, no pueden ingresar a todas sus cuentas. También debe habilitar la autenticación de dos factores siempre que sea posible para evitar que los piratas informáticos entren en sus cuentas en línea, incluso si tienen su contraseña. Al enviar un código a su teléfono, ya sea por mensaje de texto o una aplicación, agrega una segunda capa de protección para sus cuentas en línea.
Pero Instacart no puede echar toda la culpa a sus usuarios. Instacart aún no admite la autenticación de dos factores, que, si los clientes la hubieran habilitado, habría evitado los ataques a la cuenta desde el principio. Cuando verificamos, no había ninguna opción para habilitar dos factores en una cuenta de Instacart, y no se menciona en ninguna parte del sitio de Instacart que sea compatible con la función de seguridad.
Los datos publicados por Google el año pasado muestran que incluso los dos factores más básicos pueden prevenir la gran mayoría de los ataques automatizados de relleno de credenciales.
Le preguntamos a la compañía si planea implementar dos factores para sus usuarios. Cuando se lo comunicó, el portavoz de Instacart, Lyndsey Grubbs, no hizo comentarios sobre el registro más allá de señalar la declaración ya publicada de Instacart.
Instacart afirma que la seguridad es una “máxima prioridad” y que tiene un “equipo de seguridad dedicado, así como varias capas de medidas de seguridad, centradas en proteger la integridad de todas las cuentas y los datos de los clientes”.
Pero sin brindarles a los usuarios características de seguridad básicas como dos factores, los usuarios de Instacart apenas pueden proteger sus propias cuentas, y mucho menos esperar que Instacart lo haga por ellos.
Source link