Hasta ahora, hablar de Quidd era hacerlo de simpáticos objetos coleccionables: chapas, cartas, cromos y otros objetos de algunas de las franquicias audiovisuales más populares. Hoy, sin embargo, su nombre pasa a asociarse también con una lista bastante nefasta. Hablo, claro, de la de empresas que, de una u otra manera, han sufrido una filtración que ha terminado con la exposición de datos de sus clientes.
La filtración, que ha sido revelada por Risk Based Security, se habría producido en algún momento de 2019. Dado que se ha sabido de ella al encontrar los datos en el mercado negro, y no por parte de Quidd (que hasta este momento todavía no se ha manifestado al respecto), se desconoce la fecha exacta de la misma, así como de qué manera pudo la compañía perder el control de los datos, y que estos hayan acabado en tan malas manos. La acción se le atribuye al popular hacker ProTag.
MS Recomienda
Con respecto al tipo de registros cifrados, estos estarían compuestos de nombre de usuario (en texto plano), dirección de correo electrónico (también en plano) y contraseña (cifrada mediante bcrypt). Y aquí llegamos a una interesante bifurcación en la narrativa de la historia, ya que mientras que Risk Based Security afirma que los datos filtrados no se han puesto a la venta, ZDNet, citando fuentes anónimas, afirma que si que se han producido negociaciones con los mismos durante los últimos meses.
Sea como fuere, en lo que sí que coinciden todos es que recientemente, tras los meses transcurridos desde la filtración, los datos han sido hechos públicos en un popular foro de la deep web, donde todos los usuarios pueden obtenerlos de manera gratuita. Esto se justifica principalmente por el tipo de cifrado empleado para almacenar las claves: romper una clave bcrypt por fuerza bruta requiere, potencialmente, de un enorme esfuerzo (léase tiempo). Esto hace que la base de datos de usuarios de Quidd pueda no resultar tan interesante en el mercado negro.
A este respecto, sin embargo, conviene realizar un importante matiz, y es que no todas las cuentas «valen» lo mismo. Según la compañía de seguridad, la fuga de datos contiene más de mil direcciones de correo electrónico profesionales relacionadas con entidades conocidas que incluyen:
- AIG
- Experian
- Objetivo
- Microsoft
- Accenture
- Virgin Media
- Tutanota
- Universidad de Pennsylvania
No hace falta esforzarse mucho para saber cuáles son las claves que, potencialmente, serán atacadas por todos aquellos que descarguen la base de datos. Y es que, aunque las probabilidades son bajas, imagina que alguno de los usuarios de esas cuentas emplean las mismas credenciales para sus accesos profesionales.
Fuente:https://www.muyseguridad.net