Aplicación de inversión y negociación de acciones Robinhood La compañía reveló hoy algunas credenciales de usuario, incluidas las contraseñas, en texto plano en sistemas internos. Este paso en falso de seguridad particularmente peligroso podría haber expuesto seriamente a sus usuarios, aunque dice que no tiene pruebas de que se haya accedido a los datos de manera incorrecta. Mejor cambia tu contraseña ahora.
Los datos confidenciales, como contraseñas e información personal, generalmente se mantienen encriptados en todo momento. De esa manera, si ocurriera lo peor y se expusieran las bases de datos de una empresa, todo lo que el atacante obtendría es un montón de galimatías. Desafortunadamente, parece que pudo haber algunas excepciones a esa regla.
Un número de usuarios, incluyendo a Justin Cauchon de CNET, recibió el siguiente aviso de Robinhood en un correo electrónico:
Cuando configura una contraseña para su cuenta de Robinhood, utilizamos un proceso estándar de la industria que impide que cualquier persona de nuestra empresa pueda leerla. El lunes por la noche, descubrimos que algunas credenciales de usuario se almacenaban en un formato legible dentro de nuestros sistemas internos. Queremos hacerle saber que su contraseña puede haber sido incluida.
Resolvimos este problema y, después de una revisión exhaustiva, no encontramos pruebas de que alguien fuera de nuestro equipo de respuesta accediera a esta información.
Parece que si fuera realmente “estándar de la industria”, entonces el resto de la industria también habría almacenado las contraseñas en texto plano. Ahora que lo pienso, eso explicaría muchas cosas, ya que Google, Facebook, Twitter y otros han logrado cometer este mismo error recientemente.
Un representante de Robinhood destacó la rapidez de la respuesta de la empresa al problema, aunque no comentaron cómo se descubrió por primera vez, ni durante cuánto tiempo se almacenaron los datos de esa manera, ni qué desviación de estas normas de la industria causó el problema, ni cuántos los usuarios se vieron afectados, ni si las respuestas a estas preguntas llegarían nunca. Ellos ofrecieron la siguiente declaración:
Resolvimos rápidamente este problema de registro de información. Después de una revisión exhaustiva, no encontramos evidencia de que alguien fuera de nuestro equipo de respuesta accediera a esta información del cliente. Debido a una gran cantidad de precauciones, hemos notificado a los clientes que pueden haber sido afectados y les hemos animado a restablecer sus contraseñas. Asumimos nuestra responsabilidad a los clientes con seriedad y ponemos un enfoque inmenso en el trabajo para garantizar que su información esté segura.
Si recibiste un correo electrónico, estabas entre los desafortunados pocos muchos mayoria puñado algunos, así que cambia tu contraseña. Si no recibió un correo electrónico … también cambie su contraseña. Nunca puedes ser demasiado cuidadoso.