El servicio de alerta Have I Been Pwned (HIBP) informa de que SurveyLama sufrió una violación de datos en febrero de 2024, exponiendo los datos sensibles de 4,4 millones de usuarios.
SurveyLama es una plataforma en línea que recompensa a los usuarios registrados por completar encuestas. Propiedad de la empresa francesa Globe Media, la plataforma es conocida por sus elevados pagos (de hasta 20 dólares), su rapidez y sus múltiples opciones de retirada.
A principios de febrero, el creador de HIBP, Troy Hunt, fue informado de una filtración de datos que afectaba al servicio y que afectaba a varios tipos de datos, entre ellos los siguientes
- Fechas de nacimiento
- Direcciones de correo electrónico
- Direcciones IP
- Nombres completos
- Contraseñas
- Números de teléfono
- Direcciones físicas
Hunt declaró a CiberNovedades que había sido informado de la exposición por uno de los usuarios afectados y que había verificado los datos de forma independiente.
Contactada por HIBP para preguntar sobre la autenticidad de los datos, SurveyLama dijo que ya había notificado a los usuarios afectados por correo electrónico, confirmando el incidente de seguridad.
El conjunto de datos contiene información sobre 4.426.879 cuentas y se añadió a H IBP ayer, por lo que los usuarios afectados ya deberían haber recibido una notificación por correo electrónico.
Según la plataforma, las contraseñas expuestas se almacenaban como hash SHA-1 con sal, bcrypt o argon2, por lo que no podían utilizarse directamente en claro.
Aunque el hash ofrece cierta resistencia al cracking, no es inmune a la fuerza bruta, especialmente en el caso de las contraseñas protegidas por SHA-1 salado, que tiene vulnerabilidades conocidas, lo que lo hace susceptible a ataques de colisión.
Dicho esto, los titulares de cuentas de SurveyLama deben restablecer inmediatamente sus contraseñas en el servicio y en otras plataformas en las que puedan utilizar las mismas credenciales.
Hunt declaró a CiberNovedades que no tenía constancia de que los datos comprometidos se hubieran hecho públicos, por lo que la exposición es actualmente limitada.
Sin embargo, si el conjunto de datos ha caído en las manos equivocadas, podría ser explotado de forma privada y luego filtrado a la comunidad de ciberdelincuentes en general, por lo que los usuarios deberían tomar medidas de protección lo antes posible.