Tablero de la puerta
Un hackeo al servicio de entrega de alimentos DoorDash filtró los datos personales de 4,9 millones de clientes, repartidores y comerciantes, reveló la compañía el jueves.
La violación tuvo lugar el 4 de mayo, pero los funcionarios de DoorDash no se enteraron hasta principios de este mes cuando notaron una actividad inusual que involucraba a un proveedor de servicios externo no identificado. Eso es lo que dice DoorDash en la publicación, que comienza: “Nos tomamos muy en serio la seguridad de nuestra comunidad”. Los datos obtenidos por el atacante podrían incluir nombres, direcciones de correo electrónico, direcciones de entrega, historiales de pedidos, números de teléfono y contraseñas criptográficamente codificadas y salteadas.
También quedaron expuestos los últimos cuatro dígitos de las tarjetas de pago de los clientes y los últimos cuatro dígitos de las cuentas bancarias de los repartidores y comerciantes. También se accedió a los números de licencia de conducir de unos 100.000 repartidores.
DoorDash no tiene evidencia que indique que a las personas que se unieron al servicio después del 5 de abril de 2023 se les tomaron los datos. La cifra de 4,9 millones incluye solo una parte de los usuarios que se unieron en esa fecha o antes. La compañía dijo que está en proceso de notificar directamente a los afectados.
Cambiar contraseñas ahora
La publicación de DoorDash no proporcionó detalles sobre el régimen de hashing criptográfico utilizado para proteger las contraseñas, y el correo electrónico de una portavoz no respondió una pregunta que buscaba ese detalle. El tipo de hash DoorDash utilizado es crucial para evaluar la gravedad de la infracción.
Este es el por qué:
Hashing es un proceso que convierte una contraseña de texto sin formato como “la contraseña supersegura de Dan” (sin incluir las comillas) en una cadena larga como 7140e92c2d1e125aabbdab4cdf31cce8. Los hashes son unidireccionales, lo que significa que no existe una forma matemática de convertir los hashes en el texto sin formato del que se derivaron. A veces, los piratas informáticos pueden eludir esta protección ejecutando largas listas de conjeturas de contraseñas a través de generadores de hash y buscando resultados que coincidan con los hash encontrados en una infracción. Muchos servicios en el pasado han usado algoritmos débiles como MD5 y SHA1, que nunca fueron pensados para proteger las contraseñas almacenadas. El resultado: es trivial para los intrusos descifrar los hashes generados con estos algoritmos.
La garantía del jueves de DoorDash de que las contraseñas habían sido codificadas significa poco sin conocer el algoritmo específico o la función utilizada. El hecho de que la rutina hash incluyera “sal” es alentador. Eso es porque, cuando se hace correctamente, requeriría más poder computacional para que los piratas informáticos descifren millones de hashes. Pero a menos que DoorDash diga más, la gente debe permanecer muy escéptica sobre la afirmación de la compañía de que el hashing que utilizó hizo que las contraseñas fueran “indescifrables” y que la compañía no cree que las contraseñas de los usuarios hayan sido comprometidas.
Cualquiera que tenga una cuenta de DoorDash debe cambiar su contraseña por una que sea segura y única. Cualquiera que haya usado una contraseña de DoorDash para proteger otros sitios también debe cambiar esas contraseñas.
DoorDash dijo que tomó medidas para bloquear el acceso del intruso después de que descubrió la brecha a principios de este mes. Eso deja abierta la posibilidad de que los atacantes tuvieran acceso durante más de 4,5 meses. La publicación del jueves no abordó esta posibilidad, y la portavoz de DoorDash se negó a responder una pregunta en busca de aclaraciones. DoorDash dijo que las personas pueden llamar al 855–646–4683 si tienen preguntas.