Flipboard: la compañía que sufrió un hackeo durante nueve meses

Flipboard, el famoso agregador para guardar y leer noticias, sufrió una extensa violación de los datos de sus usuarios –contraseñas, correos electrónicos, tokens digitales– durante un hackeo que duró unos nueves meses.

La compañía, que en agosto de 2018 anunció que rompió su récord histórico con 145 millones de usuarios únicos en un solo mes, comenzó a notificar a sus usuarios desde la semana pasada sobre un incidente de seguridad durante el cual unos hackers tuvieron acceso a sus sistemas internos, de acuerdo con el sitio web especializado ZDNet.

En una serie de emails que envió a sus usuarios, Flipboard aseguró que los piratas informáticos obtuvieron acceso a sus bases de datos, que usaban sobre todo para almacenar información de sus consumidores.

Flipboard señaló que estas bases de datos almacenaban información detallada de sus propios consumidores: nombres de usuarios, contraseñas y, en algunos casos, emails o tokens digitales –usualmente usados para almacenar información sobre métodos de pago– que vinculaban cuentas de terceros con la app del agregado de noticias.

La única buena noticia del suceso fue que la "vasta mayoría" de las contraseñas a la que los hackers tuvieron acceso estaban fuertemente protegidas por un algoritmo llamado bcrypt, considerado en la actualidad como uno de los más difíciles de romper.

"Si los usuarios crearon o cambiaron su contraseña después del 14 de marzo de 2012, está protegida por bcrypt. Si los usuarios no la han cambiado desde entonces, de cualquier manera está protegida con (el algoritmo) SHA-1", señaló Flipboard.

La empresa no precisó el número exacto de cuentas a las que los hackers tuvieron acceso, pero dijo que no todas las cuentas habían sido afectadas. "Todavía estamos en el proceso de determinar el número total", expresó Flipboard. "Pero sabemos que no todos los datos de nuestros usuarios fueron comprometidos", completaron.

A pesar de ello, Flipboard reseteará todas las contraseñas de sus consumidores, sin importar si sufrieron o no violaciones durante el hackeo, "por precaución".

"No hemos encontrado ningún tipo de evidencia de que personas sin autorización han accesado a las cuentas conectadas a Flipboard de nuestros usuarios", detallaron.

Sin embargo, el hackeo fue extenso, de acuerdo con una parte del personal de la compañía. Los hackers tuvieron acceso a los sistemas internos durante unos nueves meses, entre el  de junio 2 de 2018 hasta el 23 de marzo de 2019, y un segundo periodo entre el 21 y 22 de abril de 2019.

Flipboard dijo que había detectado el hackeo después de la segunda intrusión, cuando investigaba un pico de actividad en sus redes que resultaba sospechosa. La compañía anunció por último que ya había notificado a las autoridades del tema.

Facebook y Google, con problemas similares

En abril se reveló que Facebook había almacenado en texto plano millones de contraseñas de Instagram, red social de su propiedad, dejando expuesta la información de sus usuarios a personas de la compañía con acceso a ciertos sistemas internos, de acuerdo con medios especializados.

La revista The Verge advirtió que el "lapso de seguridad" había sido reportado en marzo por primera vez, pero en aquella ocasión la empresa de Mark Zuckerberg afirmó que habían sido expuestas "decenas de miles" de cuentas de Instagram. Sin embargo, el número sería en realidad de "millones" de afectados.

El gigante tecnológico Google admitió por su parte hace un par de semanas que también almacenó "de manera accidental" las contraseñas de algunos de sus usuarios en texto plano.

El "virus", de acuerdo con la compañía californiana, afectó a "un pequeño porcentaje de usuarios de 'G Suite'", dijeron. "G Suite" es uno de los servicios que Google ofrece, donde proporciona varios productos de su creación con un nombre de dominio personalizado por su cliente.

El problema de almacenar contraseñas en texto plano es que no hay manera de protegerlas si alguien sabe cómo y dónde buscarlas. Este tipo de información sensible de una cuenta debe estar almacenado siempre con una encriptación, para que cuando el usuario digite su contraseña, el sitio donde se está introduciendo no la "lea", pero pueda confirmar que es correcta.