Sebastian Munoz CEO REALSEC Inc

El hack de eBay, la pérdida de 140 millones de registros y el fiasco de PR

El escritor freelance de seguridad, Kevin Townsend, ha incluido en su reportaje sobre el hack de eBay comentarios de diferentes expertos vinculados al mundo de la seguridad de la información.
Entre estos comentarios, destacan los aportados por Sebastian Munoz, CEO de REALSEC Inc, filial de REALSEC en USA.
Éste es el extracto de los comentarios de Sebastian Munoz:
Aun así, dejaron sin cifrar las direcciones de correo de los usuarios y otra información personal sensible. Si estuvieran usando cifrado en serio, habrían debido usar un Hardware Security Module (HSM) para custodiar de forma segura las claves y hubieran podido cifrar toda la información sensible, y no solo las contraseñas.
“No parecen muy seguros de su sistema de cifrado,” comenta Sebastian Munoz, CEO of REALSEC Inc, “cuando están sugiriendo a todos sus clientes que cambien las contraseñas. Si el cifrado hubiera sido eficiente, usando los módulos hardware específicos para estas tareas, no habría necesidad de cambiar las contraseñas, ya que la protección total estaría garantizada. Cuando se usa un Hardware Security Module (HSM), y no un simple e inseguro proceso de cifrado por software, no hay forma de que los hackers hubieran podido tener acceso a las claves de cifrado y por tanto a la información sensible.”
Además, Munoz sospecha que solo se utilizó cifrado por software, porque solo las contraseñas habían sido cifradas. Este tipo de software de encriptación tienen un significativo impacto en el rendimiento de las aplicaciones, y por tanto otras consideraciones de costos deben ser tenidas en cuenta.
Por tanto, dada la duración de la brecha de seguridad y la probable falta de HSMs, Hardware Security Module es perfectamente posible que los hackers hayan encontrado también las claves de encriptacion – y si este es el caso, ahora tendrán acceso a la mayor parte de las 145 millones de contraseñas, junto con las direcciones de correo, direcciones, números de teléfono y fechas de nacimiento.
Si quiere leer completamente este artículo (en inglés) pinche AQUÍ

Sin comentarios

Envia un comentario

Comment
Nombre
Email
Sitio Web