T-Mobile guarda parte de las contraseñas de los usuarios en texto plano
La seguridad es difícil. Los sistemas informáticos se vuelven más complejos cada día y el software está devorando el mundo, haciendo que la tarea de mantener a los piratas informáticos lejos sea más y más difícil.
A veces, sin embargo, las empresas simplemente lo hacen demasiado fácil para el malo al ignorar las mejores prácticas de seguridad más básicas y universalmente aceptadas. El culpable de hoy: T-Mobile Austria.
La compañía admitió en Twitter que almacena al menos parte de las contraseñas de sus clientes en texto sin formato. Este es un gran fallo porque si alguien ataca T-Mobile, es probable que adivinen o formen fuerza bruta contra la contraseña de cada usuario. Si las contraseñas estuvieran totalmente cifradas o codificadas, no sería tan fácil. Pero tener una parte de la credencial en texto sin formato reduce la dificultad de decodificar la parte hash y obtener la contraseña completa.
"Basándonos en lo que sabemos sobre cómo las personas eligen sus contraseñas", PerTorsheim, el fundador de la primera conferencia dedicada a las contraseñas, dijo a través de un mensaje en Twitter, "saber los primeros 4 caracteres de tu contraseña puede hacer que MUY FÁCIL para que un atacante descubra el resto".
T-Mobile no ve eso como un problema porque tienen "una seguridad asombrosamente buena".
El jueves, un empleado de soporte al cliente de T-Mobile Austria hizo esa sorprendente revelación en un tweet increíblemente indiferente.
Hello Claudia! The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login for https://t.co/vJapgJ50qc ^andrea
— T-Mobile Austria (@tmobileat) 4 de abril de 2018
La usuaria de Twitter Claudia Pellegrino se apresuró a señalar que el almacenamiento de contraseñas en texto plano es incorrecto, pero otro representante de T-Mobile no lo vio de esa manera.
"Realmente no entiendo por qué esto es un problema. Tienes tantas contraseñas para cada aplicación, para cada cuenta de correo, etc. Aseguramos todos los datos con mucho cuidado, por lo que no hay nada que temer", respondió el representante.
Otro usuario de Twitter intervino diciendo "¿y si se infringe su infraestructura y la contraseña de todos se publica en texto plano para todo el mundo?"
Un representante de T-Mobile Austria dijo que "hay un malentendido en este hilo acerca de cómo almacenamos y qué se muestra para los agentes de servicio al cliente. Consultaré con nuestro oficial de seguridad y le responderemos".
Es difícil exagerar cuán increíblemente temerario es, en 2018, almacenar aún las contraseñas de las personas en texto plano. A lo largo de los años, se han perdido literalmente miles de millones de credenciales de personas en innumerables brechas de seguridad, y todos los expertos en seguridad cibernética acuerdan que las empresas deben tomar precauciones para que, si ocurre una violación de datos, las contraseñas se codifiquen o se cifren y no se comprometan.