La plataforma de encuestas en línea SurveyLama sufrió una violación de datos en la que quedaron expuestos datos confidenciales de más de cuatro millones de personas.
La empresa confirmó la infracción a Troy Hunt, el creador del ¿Me han engañado? sitio web que agrega direcciones de correo electrónico expuestas en violaciones de datos.
De acuerdo a pitidocomputadora, la infracción ocurrió en febrero de este año. Los datos obtenidos por atacantes anónimos incluyen nombres de personas, fechas de nacimiento, direcciones de correo electrónico, direcciones IP, contraseñas, números de teléfono y direcciones postales, lo que abre a los usuarios hasta el robo de identidad y estafas de phishing.
Atacantes desconocidos
SurveyLama recompensa a los usuarios registrados por completar encuestas y se sabe que realiza pagos de hasta $20. Eso convierte a sus usuarios en el público objetivo ideal para correos electrónicos de phishing basados en recompensas.
En total, 4,4 millones de personas resultaron afectadas y supuestamente ya han sido notificadas. Si es usuario de SurveyLama, tenga cuidado con los correos electrónicos entrantes, especialmente aquellos que ofrecen un premio a cambio de una reacción rápida.
Si bien se robaron las contraseñas de los usuarios, todas se almacenaron en formatos hash salados SHA-1, bcrypt y argon2, lo que significa que no se pueden usar fácilmente. Aún así, BleepingComputer dice que algunas contraseñas podrían descifrarse con ataques de fuerza bruta, especialmente aquellas con hash SHA-1, una función hash con vulnerabilidades conocidas.
En cualquier caso, se recomienda a los usuarios de SurveyLama que actualicen sus contraseñas, sólo para estar seguros.
La información robada aún no se ha publicado en ningún lugar ni se ha vendido en la web oscura, por lo que todavía hay tiempo para reaccionar y proteger las cuentas. Dado que aún no se ha hecho público, no sabemos quiénes son los actores de la amenaza, o si se trató de un ataque de ransomware o una simple destrucción y captura de datos.
En los últimos tiempos, incluso Secuestro de datos Los grupos comenzaron a alejarse del cifrado y centrarse únicamente en el robo de datos. Exigir el pago de un rescate a cambio de los datos parece ser una empresa lucrativa.