Sin haberlo sabido hasta ahora, los usuarios de la red social MySpace fueron afectados por un robo de contraseñas similar al sufrido por LinkedIn. Esta brecha de seguridad ocurrió en junio del 2013 cuando un hacker conocido como Peace, el mismo responsable del ataque hacia LinkedIn, logró acceder a los datos de 360 millones de usuarios obteniendo aproximadamente 427 millones de contraseñas.
Estos datos fueron filtrados en el sitio web LeakedSource, pero al parecer han estado circulando anteriormente en la deep web. Según una entrada de blog de este sitio web, cada registro de la base de datos contiene «una dirección de correo electrónico, un nombre de usuario, una contraseña y, en algunos casos, dos contraseñas». Tomando en cuenta estas cantidades, este podría ser uno de los mayores robos de datos ocurridos alguna vez.
La base de datos que contiene esta información se encuentra a la venta por 6 BTC, que equivalen a 3186 dólares para el momento en el que se escribe; una cantidad un poco mayor a la requerida por los 117 millones de contraseñas de los usuarios de LinkedIn.
Según las declaraciones de LeakedSource, la persona que les proporcionó esta base de datos posee una cuenta en el chat ruso Exploit.im bajo el nombre de usuario Tessa88. No obstante, durante una entrevista con Motherboard, uno de los operadores de este sitio web declaró que en realidad no cuentan con la información suficiente acerca de la procedencia original de los datos ni su circulación durante todo este tiempo.
Los operadores de este sitio han intentado comunicarse en varias ocasiones con MySpace sin éxito alguno, por lo que no han logrado llegar a un acuerdo con los encargados de esta red social. Hasta no establecer este contacto, LeakedSource permitirá visualizar los primeros cinco caracteres de las contraseñas hackeadas de manera que los usuarios puedan verificar si fueron víctimas del ataque.
Tras haber verificado esto, las víctimas tendrán la oportunidad de contactar a los operadores del sitio para pedirles que eliminen su información de la base de datos sin tener que pagar nada a cambio. Adicionalmente, LeakedSource proporcionó un listado con las contraseñas más utilizadas por los usuarios de MySpace que son fáciles de hackear debido a su bajo nivel de seguridad.
Este suceso también reveló una situación que debe ser solucionada en cuanto a la ciberseguridad; al igual que las contraseñas de LinkedIn, las de las cuentas hackeadas de MySpace fueron almacenadas usando la función criptógráfica SHA1 y sin emplear la práctica del salting, que consiste en agregar datos aleatorios a una entrada con la finalidad de aumentar su seguridad ante ataques externos.
Al igual que estas redes sociales, puede que muchas de las otras que usamos utilicen esquemas de seguridad igual de insuficientes ante los estándares actuales, por lo que la seguridad de los datos de muchos usuarios puede correr peligro. Ante esta situación, es necesario que tanto los operadores de estos sitios web como los usuarios tomen las medidas necesarias para evitar los posibles daños generados por este tipo de ataques.
