Contraseñas de usuarios de Bitly comprometidas (y van…)

Hace algunos días el equipo de seguridad de Bitly, popular servicio de acortamiento de direcciones conocido por sus dominios bit.ly o j.mp, fue alertado de un posible acceso no autorizado a sus bases de datos.

Al respecto, Rob Platzer, CTO de la compañía con sede en New York, informó mediante un comunicado de prensa publicado en su blog que el entorno productivo de Bitly no se encuentra comprometido.

Nuestro equipo de Seguridad logró determinar con un alto grado de confianza que no existieron conexiones externas hacia nuestra base de datos de usuarios de producción, asi como tampoco a nuestras redes o servidores. Sin embargo, observaron una cantidad inusual de tráfico originado desde nuestro sistema de almacenamiento externo de backup. En este punto, consideramos que el mejor camino era considerar nuestra base de usuarios comprometida y ejecutar un inmediato plan de respuesta que incluyó algunas tareas para proteger las cuentas de Facebook y Twitter conectadas a nuestros usuarios.

Las acciones ejecutadas por el equipo de Seguridad de Bitly fueron las siguientes:

  • Invalidar las credenciales de conexión hacia Twitter y Facebook
  • Cambiar todas las contraseñas de nuestros sistemas de almacenamiento externos
  • Habilitar el registro detallado de los servicios de almacenamiento externos
  • Cambiar todos los certificados SSL
  • Restablecer las contraseñas utilizadas para la implementación de código
  • Habilitar el factor de doble autenticación para todos los servicios utilizados en la compañía
  • Acelerar el desarrollo del soporte de factor de doble autenticación para el sitio bitly.com
  • Acelerar el desarrollo de la confirmación de cambio de contraseña por e-mail
  • Actualizar la aplicación para iPhone con el fin de soportar tokens OAuth

De todos modos, asegura Rob, las claves en texto plano no fueron comprometidas. No así las encriptadas, aplicables a aquellos usuarios que se hayan registrado, hayan iniciado sesión o modificado su contraseña después del 8 de enero de 2014. Con respecto a los enlaces Bitlinks, ninguno se encuentra afectado ya que la base de producción no fue comprometida.

Por su parte, Mark Josephson, CEO de Bitly, recomiendo a los usuarios cambiar sus contraseñas ingresando a bitly.com y regenerar la clave API desde la solapa “Avanzado”, en las opciones de cuenta.

Esto nos hace pensar, una vez más, en cuál vulnerables son nuestras contraseñas y qué acciones debemos tomar para evitar que este tipo de situaciones expongan a otros servicios. En lo personal les recomiendo activar la verificación de dos pasos, siempre que el proveedor del servicio lo permitay evitar utilizar la misma contraseña en múltiples servicios.

Artículos relacionados:

Actualización de seguridad urgente en relación a tu cuenta Bitly

El robo de contraseñas o qué hacer para no perder la cabeza

Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad

Cómo activar la verificación de dos pasos en Outlook.com

¡Hasta la próxima!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.