Reconstruyendo una brecha de seguridad en una red social

Imperva ha hecho público el informe "Hacker Intelligence" correspondiente al mes de mayo (disponible en pdf), donde disecciona el ataque a finales de marzo del grupo Lulzsec a la web de contactos MilitarySingles.com, de donde obtuvo información personal de 170.000 usuarios.

El informe analiza la facilidad con que se puede acceder a información personal a través de sitios sociales, contenido generado por usuarios y aplicaciones basadas en PHP.

Además, alerta al Gobierno y al Ejército sobre la necesidad de regular el acceso a este tipo de redes del personal administrativo y militar, ya que pueden poner en peligro información sensible. En este caso, Military Singles es una web para contactar entre soldados.

También incluye una serie de recomendaciones para que los medios sociales se protejan de los peligros del contenido generado por sus usuarios. Dado que el 75% de los social media están programados sobre aplicaciones PHP, son vulnerables a ataques tipo RFI y LFI generados a partir del contenido creado por los usuarios, en este caso, fotografías subidas por los usuarios a la web.

Por último recuerda la necesidad de encriptar las contraseñas. No es suficiente con recomendar utilizar contraseñas seguras, ya que, entre otras cosas, la mayoría de los usuarios no lo hace. En el caso de MilitarySingles, el 90% de las contraseñas fueron crackeadas en nueve horas, lo que tampoco es extraño si tenemos en cuenta que la más utilizada era "123456".

Passwords