Una brecha de datos ha afectado a 150 millones de usuarios de MyFitnessPal

El hecho de que vivamos cada vez más expuestos convierte los datos que transmitimos en una tentación para los ciberdelincuentes. Esto hace que cada vez más servicios de distinto tipo sean objetivos de ataques con los que se pretende provocar brechas de datos. Después de casos tan sonados como los de Yahoo y Myspace, ahora le ha llegado el turno a la popular aplicación de fitness MyFitnessPal, que ha padecido hace unos días una brecha de datos que ha afectado a 150 millones de usuarios.

La brecha de datos no ha comprometido datos financieros, pero sí nombres de usuario, direcciones de email, contraseñas cifradas y otros datos personales. De momento no se tienen datos precisos sobre quiénes están detrás del ataque y cómo ha sido realizado. MyFitnessPal, que es una subsidiaria de Under Armour, notificó a todos los usuarios afectados por la brecha de datos, mientras que Under Armour ha publicado una declaración oficial sobre el hecho.

La teoría que por ahora parece cobrar más fuerza es la expuesta por el experto Troy Gunt, encargado del repositorio HaveIBeenPwned.com, quien ha dicho que parte de los datos de usuario almacenados por MyFitnessPal estaban cifrados con la obsoleta y débil función de hash SHA-1, que ya fue una fuente de problemas para Disqus y Dropbox y está considerado por muchos como un verdadero peligro para la confiabilidad que se puede depositar en Internet. La parte no afectada habría estado cifrada con Bcrypt, un veterano algoritmo de seguridad de 19 años diseñado para “hashear” contraseñas y basado en el algoritmo criptográfico de cifrado de bloques simétrico Blowfish. Utiliza una técnica llamada Key Stretching, diseñada para dificultar los ataques mediante fuerza bruta.

En caso de ser usuario de MyFitnessPal, recomendamos encarecidamente cambiar la contraseña de inmediato en caso de no haberlo hecho en los días siguientes tras producirse la brecha de datos, además de estar atento a los movimientos en las cuentas bancarias aunque en teoría los datos relacionados no hayan sido comprometidos.

Fuente: ThreatPost