Las horribles prácticas de contraseñas de los usuarios de 23andMe fueron supuestamente las culpables del desastre de datos de la empresa de biotecnología en octubre, según sus representantes legales. No, la gestión de infraestructura de la empresa de biotecnología ciertamente no tuvo ninguna culpa cuando 6,9 millones de usuarios vieron sus datos comprometidos después de que unas 14.000 cuentas fueran pirateadas mediante relleno de credenciales. 23andMe ha señalado que los usuarios que reciclan credenciales comprometidas en infracciones separadas y no relacionadas son la razón principal por la que una gran cantidad de datos terminó en manos de ciberdelincuentes. La falta de 2/MFA obligatorio o controles de credenciales comprometidas utilizadas en el sitio, por ejemplo, no se cita como una influencia significativa. Los reclamos fueron hechos en una carta. [PDF] enviado a los abogados que representan a los clientes detrás de una demanda contra 23andMe, alegando violaciones de la Ley de Derechos de Privacidad de California (CPRA), la Ley de Confidencialidad de la Información Médica de California, la Ley de Privacidad de la Información Genética de Illinois (GIPA) y varias leyes comunes. La carta, que fue informada por primera vez por TechCrunch, decía: «Como se establece en la publicación del blog de 23andMe del 6 de octubre de 2023, 23andMe cree que actores no autorizados lograron acceder a ciertas cuentas de usuario en casos en los que los usuarios reciclaron sus propias credenciales de inicio de sesión, es decir, los usuarios utilizó los mismos nombres de usuario y contraseñas utilizados en 23andMe.com que en otros sitios web que habían estado sujetos a violaciones de seguridad anteriores, y los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe. no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables según la CPRA por parte de 23andMe». Hassan Zavareei, uno de los abogados que representa a los demandantes en el caso, dijo que la empresa está descuidando a los clientes y restando importancia a la gravedad del incidente. La publicación del blog a la que se hace referencia en la carta, actualizada por última vez el 5 de diciembre, difiere muy poco de la redacción de los abogados de la compañía, y plantea todos los mismos puntos, solo que sin jugar tan directamente al juego de la culpa. No hay ninguna referencia a la negligencia o falla del usuario en el blog, y su actualización más reciente concluye con una lista de las medidas adicionales que la compañía ha implementado para proteger a los usuarios de ataques en el futuro. Desde el punto de vista de las relaciones públicas, la respuesta de la empresa de biotecnología fue descrita como un tono completamente equivocado. Yvonne Eskenzi, cofundadora de la agencia de relaciones públicas de seguridad informática Eskenzi, dijo: «Desde el punto de vista de las comunicaciones de crisis, la respuesta de 23andMe a su violación falla por completo». La decisión de culpar a las víctimas ha alimentado la prensa negativa, eludió la responsabilidad y no expresó cualquier compasión hacia los afectados. Si bien esto probablemente esté impulsado en gran medida por el departamento legal de la empresa, el tono de la carta probablemente enojará a los clientes y provocará una reacción violenta. En última instancia, en muchos casos, es posible que la persona promedio no sepa que su contraseña ha sido comprometida en otro lugar. Depende de una organización asegurarse de que sus medidas de seguridad sean lo suficientemente sólidas como para mitigar cualquier riesgo para el usuario final. Minimizar públicamente el riesgo y desviar la culpa es, sin duda, malas relaciones públicas». En la industria de la seguridad de la información, los expertos parecen estar divididos sobre el tema, aunque la mayoría se opuso a la postura de 23andMe. «Las organizaciones deberían asumir la responsabilidad de cualquier vulneración cibernética que se produzca dentro de su infraestructura. «, dijo James McQuiggan, defensor de la concientización sobre la seguridad en KnowBe4. «En la sociedad actual, la autenticación multifactor debería ser el estándar de acceso, autenticación y autorización al acceder a información confidencial, como información de identificación personal. Esta característica reduce significativamente el riesgo de un ataque exitoso debido al relleno de credenciales y la reutilización de contraseñas por parte de sus usuarios». Antes de la violación de datos en octubre, 23andMe no exigía el uso de 2FA, pero dijo que ha apoyado 2FA basado en aplicaciones de autenticación desde 2019. Muchos otros se opusieron a la postura de la empresa, incluida Rachel Tobac, directora ejecutiva de SocialProof Security y miembro del Consejo Asesor Técnico de CISA, quien dijo que la implementación de herramientas para comprobar si las credenciales se han visto comprometidas sería una contramedida eficaz. «La mayoría de las organizaciones todavía permiten a los usuarios «Recomiendo discutir la integración de HaveIBeenPwned lo antes posible en su registro/ flujos de inicio de sesión para limitar este riesgo real». Es poco probable que el usuario promedio de Internet conozca las diferentes herramientas disponibles para verificar la seguridad de sus credenciales reutilizadas, confiando en las plataformas con las que interactúa para alertarlos de la misma manera que normalmente lo hacen. hacer con contraseñas débiles durante la fase de registro. Podría decirse que aún menos son conscientes de todas las consecuencias de reutilizar credenciales comprometidas, o de lo que es un ataque de relleno de credenciales, incluso si se les hubiera informado que estaban comprometidos previamente. Muchos comentaristas se hicieron eco de la recomendación de implementar la API HaveIBeenPwned, y el hecho de que 2FA no fuera la configuración predeterminada fue otra crítica destacada. «La reutilización de contraseñas es un paso en falso de seguridad bien conocido, pero continúa ocurriendo y a menudo se considera una vía de doble sentido, especialmente si la autenticación de segunda capa no está disponible», dijo Jake Moore, asesor global de ciberseguridad de ESET. «Además, el acceso a grandes cantidades de datos nunca debe basarse únicamente en una contraseña debido a este antiguo problema. La forma más exitosa de contraatacar el relleno de contraseñas es implementar MFA de forma predeterminada para todos los usuarios y aceptar el riesgo de perder usuarios que No estamos dispuestos a aceptar esta característica de protección.» Sin embargo, no todos los profesionales de la industria coincidían en su forma de pensar. El consultor de Infosec Paul Moore, por ejemplo, dijo que «las contraseñas se eligen en relación con la importancia de los datos que protegen». «Si reutilizas una contraseña débil para ‘proteger’ tus datos de 23andMe, tienes que aceptar parte, si no toda la responsabilidad, cuando suceda lo inevitable… suponiendo que ese sea el punto de entrada», publicó en X. «Las empresas sólo pueden hacer mucho.» Robert Graham, experto en ciberseguridad y propietario de Errata Security, también se refirió a la plataforma que respalda a 23andMe y dijo: «Es culpa del cliente que hayan sido pirateados. Es algo que hizo el cliente, no algo que hizo 23andMe. Si deliberadamente chocas contra un árbol con tu Toyota, no es culpa de Toyota que hayas chocado tu auto», antes de ser destrozado en las respuestas. The Register se acercó a 23andMe para hacer comentarios, pero no respondió. ®

Source link