Ni empresas ni usuarios: no estamos preparados…

adult friend finder

Ha vuelto a pasar.

Friend Finder Network Inc, una compañía dirigida al público de más de 18 años, y que tiene en su haber páginas como Adulfriendfinder.com, Cams.com, Penthouse.com, Stripshow.com e iCams.com, sufría un hackeo este pasado octubre que exponía algo más de 400 millones de cuentas. Concretamente, 412.214.295 (EN).

En serio, párese a pensar lo que representa este número. Cuentas actuales y cuentas que datan del 1997, usuarios que quizás ya no existan y usuarios que siguen disponibles, pares de usuario/contraseña que seguramente están siendo usados para otros menesteres, y que involucran, como ocurrió en el caso de Ashley Madison, clientes de servicios de contacto con presumiblemente unos cuantos millones de adúlteros y adúlteras.

La filtración se hacía pública el pasado viernes, y a un servidor le ha tocado estos días analizar el caso a nivel interno. La mayoría de medios se han hecho eco del asunto ayer, habida cuenta de que ha destronado a la filtración de MySpace como el volcado de datos personales más grande de la historia. Todo un honor del que seguramente la compañía no hará gala ante sus inversores.

Porque de eso mismo quería hablar hoy. Que noticias como esta sigan acaparando portadas mes tras mes solo demuestra que ni las empresas ni los usuarios parecemos haber aprendido absolutamente nada.

¿Cómo es posible que situaciones como estas se vuelvan a dar periódicamente? ¿Quién tiene la culpa de todo ello?

Vamos por partes.

El papel del usuario

Y empezamos fuerte.

A estas alturas, criticar el consumo de porno entre adultos me parece una soberana gilipollez. Como también está el hecho de encontrar en una página de contactos relaciones extramatrimoniales. Allá cada uno con su vida.

Pero lo que todavía no me explico es cómo puede haber gente del gobierno y de su ejército utilizando las cuentas corporativas para suscribirse a servicios de este tipo.

Por citar dos ejemplos, este volcado tenía 5.650 emails .gov y 78.301 cuentas .mil. Y esto ocurrirá seguramente con el resto de grandes organizaciones de medio mundo.

¿Que qué problema hay en hacerlo? Descontando el hecho de que seguramente esos correos están de una u otra manera monitorizados por la propia organización (ya no solo estás exponiendo tus gustos sexuales, sino que además lo estás haciendo a quien te da de comer), me pregunto qué porcentaje de todos ellos estarán utilizando además la misma contraseña que utilizan para entrar en su sesión, o acceder al resto de servicios que dicha organización ofrece en su intranet.

Ya lo he explicado en más de una ocasión. El problema de estas filtraciones no es la filtración en sí, sino esa base de conocimiento que va a permitir a todo aquel que acceda al volcado disponer de un par usuario/contraseña que seguramente sea el mismo que el que la víctima ha utilizado para crearse su cuenta de email, su Facebook, o peor aún, su logging en los servicios corporativos, exponiéndose no solo a sí mismo, sino al resto de trabajadores y por antonomasia, a la propia organización.

Por si esto fuera poco, vamos a echarle un ojo a las contraseñas más utilizadas.

Rango Contraseña Frecuencia
1 123456 900,420
2 12345 635,995
3 123456789 585,150
4 12345678 145,867
5 1234567890 133,414
6 1234567 112,956
7 password 101,046
8 qwerty 86,050
9 qwertyuiop 43,755
10 987654321 40,627
11 123123 39,614
12 111111 38,848
13 pussy 37,938
14 fuckme 36,008
15 asdfghjkl 35,021
16 000000 34,631
17 fuckyou 34,498
18 abc123 34,080
19 00000 33,796
20 11111 33,263

¡Después nos quejamos! ¿De qué ha servido que llevemos años recomendado que, como mínimo, la contraseña sea alfanumérica, que metamos si podemos algún carácter extra (puntos, guiones, barras…), que sea extensa y que no sea fácil de reproducir?

Que casi un millón de personas sigan utilizando 123456 como contraseña para su identidad digital solo constata que hay algo que falla. O nosotros somos incapaces de llegar a esas personas, o esas personas tienen los ojos y los oídos taponados.

No sé cuál de las dos es, pero algo está fallando.

El papel de las organizaciones

Así llego al segundo en discordia. Y por varios motivos:

El primero y más criticable es que Friend Finder Networks Inc. no borraba las cuentas cuando el usuario proactivamente lo solicitaba. Desconozco si ha llegado al nivel de Ashley Madison, que tenía un servicio de pago para eliminar el perfil del usuario y que tampoco lo eliminaba de su BBDD, pero en todo caso hay algunos apuntes a considerar:

  • Solo en la página principal (AdultFriendFinder) había 15.000 cuentas marcadas como eliminadas (el cliente así lo había pedido) que por supuesto seguían en la base de datos (al email se le incluía un @deleted.com, para más cachondeo). Esto sin lugar a dudas tiene que ser denunciable.
  • Entiendo que haya interés en mantener ese tipo de información una vez el usuario pide que se elimine su cuenta. Servicios como Facebook, Twitter o Google mantienen parte de ese histórico, he incluso llegan a guardar el contenido que allí publicamos y borramos, excusándose en su necesidad de entender mejor al usuario. Pero creo que debería haber un punto medio en el que aunque se almacene este tipo de información, se anonimice aquellos datos identificativos, o como mínimo no se asocie a elementos tan críticos como es la contraseña utilizada. A fin de cuentas, de volver a estar interesado el usuario en reactivar la cuenta, tendremos que forzarle a crear otra nueva.

El segundo motivo que me hace hervir la sangre es que alrededor de un tercio de todas las contraseñas almacenadas estaban en texto plano. Y el resto, bajo un hash SHA1, considerado a día de hoy “poco seguro”, y que de hecho, ya ha permitido obtener el 99% de los pares usuario/contraseña.

Si ofreces un servicio que utilizan varios millones de personas, ¿qué cuesta cifrar los datos principales con un algoritmo robusto? Que vale que quizás en 1997 no era algo necesario, pero ya ha llovido desde entonces. Cuándo decidiste dar el paso a SHA1, ¿Por qué no cifrar también las cuentas antiguas? Ya no solo por seguridad, sino por efectividad (necesitas mantener entonces dos métodos de identificación separados).

¿Cuál es el único punto bueno en todo esto? Que curiosamente los administradores decidieron formatear todas las contraseñas a minúsculas. Algo que ha facilitado el trabajo de descifrado, sí, pero que podría ayudar a todos aquellos usuarios que llevaran la lección medio aprendida y cuya contraseña, aún siendo utilizada en otros servicios, contaba con algunas letras en mayúscula.

Porque recalco que el problema de filtraciones como esta no es la filtración en sí, sino los usos que se van a dar de esa ingente base de datos. Bien sea para preparar nuevas bibliotecas de fuerza bruta, bien sea para automatizar las peticiones y el robo de millones de identidades digitales en el resto de servicios.

Y para terminar, una pregunta: ¿No sería interesante que, en vista al fallo de los usuarios y la irresponsabilidad de la compañía afectada, el resto de grandes servicios de Internet utilizasen esa base de datos para que proactivamente, si tienen en su haber esos emails, fuercen a sus usuarios a cambiar la contraseña por otra?

Sería un buen ejercicio para proteger los intereses de su negocio, y ya de paso, los intereses de sus propios clientes. Y además, entiendo que no sería realmente costoso de llevar a cabo (una búsqueda en su BBDD, el reseteo de la contraseña y una alerta, vía email y vía pantalla de login, explicando el por qué de esta medida y sacando pecho frente a ese usuario desconocedor del riesgo al que se está enfrentando, y frente a todas aquellas organizaciones que a día de hoy siguen negándose a hacer las cosas bien).

No marcaríamos un antes y un después, pero de volverse una estrategia habitual se minimizarían muchísimo los daños colaterales y, presumiblemente, haría muchísimo menos rentable llevar a cabo este tipo de hackeos.

Yo por aquí lo dejo :).