StockX, un sitio popular para comprar y vender zapatillas y otras prendas de vestir, ha admitido que restableció las contraseñas de los clientes después de que fue “alertado de actividad sospechosa” en su sitio, a pesar de decirles a los usuarios que fue el resultado de “actualizaciones del sistema”.
“Recientemente completamos las actualizaciones del sistema en la plataforma StockX”, decía el correo electrónico enviado a los clientes a TechCrunch el jueves. El correo electrónico proporcionó un enlace a una página de restablecimiento de contraseña, pero no dijo nada más.
La compañía fue valorada el mes pasado en más de $ 1 mil millones después de una recaudación de fondos de $ 110 millones.
Las empresas restablecen las contraseñas todo el tiempo por varias razones. Algunos equipos de seguridad obtienen listas de contraseñas previamente violadas que se abren paso en línea, las codifican en el mismo formato que la compañía almacena las contraseñas y encuentran coincidencias. Al activar el restablecimiento, evita que las contraseñas robadas de otros sitios se usen contra uno de los propios clientes de una empresa. En circunstancias menos que deseables, las contraseñas se restablecen después de una violación de datos.
Pero la compañía admitió que no se trataba de “actualizaciones del sistema” como le había dicho a sus clientes.
“StockX fue alertado recientemente de una actividad sospechosa que podría involucrar a nuestra plataforma”, dijo la portavoz de StockX, Katy Cockrel. “Por precaución, implementamos una actualización de seguridad y solicitamos de manera proactiva a nuestra comunidad que actualice las contraseñas de sus cuentas”.
“Seguimos investigando”, dijo el portavoz.
El correo electrónico de restablecimiento de contraseña enviado por StockX el jueves (Imagen: suministrada)
Hicimos varias preguntas de seguimiento, incluyendo quién alertó a StockX sobre la actividad sospechosa, si algún dato del cliente se vio comprometido y por qué tergiversó el motivo del restablecimiento de la contraseña. Tendremos más cuando lo sepamos.
Durante todo el día, los clientes tuitearon capturas de pantalla del correo electrónico, preocupados de que sus cuentas se hayan visto comprometidas. Otros cuestionaron si el correo electrónico era genuino o si era parte de un ataque de phishing.
“¿Fueron pirateados, lo descubrieron de alguna manera y luego para cubrirlo envían ese correo electrónico y solicitan un cambio de contraseña?”, Dijo uno de los clientes afectados a TechCrunch.
Los clientes no recibieron ninguna advertencia previa del restablecimiento de la contraseña.
El fundador de StockX, Josh Luber, mantuvo la línea de la compañía y le dijo a un cliente un tweet ese el restablecimiento de la contraseña fue “legítimo” pero no respondió a los usuarios preguntando por qué.
StockX tuiteó de nuevo a varios clientes con una respuesta repetitiva: “El correo electrónico de restablecimiento de contraseña que recibió es legítimo y vino de nuestro equipo”, y contactar el correo electrónico de soporte con cualquier pregunta. Hicimos exactamente eso, desde nuestra dirección de correo electrónico TechCrunch, y no escuchamos nada horas después.
Los expertos en seguridad expresaron dudas de que una empresa restablecería las contraseñas a través de una “actualización de sistemas” como StockX había afirmado.
El investigador de seguridad John Wethington dijo que es “raro” ver revisiones de seguridad que requieren restablecimientos de contraseña. “No solo enviarías un correo electrónico aleatorio al respecto”, dijo. Jake Williams, fundador de Rendition Infosec, dijo que era “mala comunicación” en cualquier caso.
Varios acudieron a Twitter para criticar a StockX por su manejo del restablecimiento de contraseña.
Un cliente llamado el correo electrónico “sospechoso”, otro llamado es “sospechoso” y otro llamó a la compañía para explicar por qué tuvieron que restablecer las contraseñas de esta manera poco ortodoxa. Otro dijo en un tweet que le preguntó a StockX dos veces pero “se negaron a dar una respuesta”.
“Supongo que estoy cerrando mi cuenta” dijo.
Lee mas:
Slack restablece las contraseñas de los usuarios después de la violación de datos de 2015
La violación de Capital One también afectó a otras compañías importantes, dicen investigadores
Una contraseña expuesta le permite a un hacker acceder a los archivos internos de Comodo
El lapso de seguridad expuso puntos débiles en la red interna de Honda
El sitio de préstamos de criptomonedas YouHodler expuso tarjetas de crédito y transacciones de usuarios sin cifrar