Geelbe hackeado, pero no el miércoles, mucho ruido y bastantes nueces

(Por El Microsaurio) Hubo ruido durante el feriado (bien elegido el día…) Hubo explicaciones, hubo disculpas, y también hubo enojo. Por si no te enteraste (eso indica que no vivís colgado de la web) te hago un resumen y algún comentario intranquilizante. A ver… ¿tu password es 123456?

Por si no sabés lo que es Geelbe, ahí va un ligero extracto de su propia presentación: es una empresa originada en BAires, con expansión a México; mantiene un sitio de compras por Internet, ofrece productos de marcas internacionales muy conocidas a precios rebajados; aseguran que aceptan la devolución de artículos adquiridos si no cumplen con las características descriptas en la venta, o se encuentran dañados; para anotarse como usuario se debe recibir una invitación de un socio del club, porque se lo presenta como eso, un exclusivo Club de Compras.
Ahora a los sucesos:
Día 23 a la noche, aparece un tweet que dice “f__k! hackearon geelbe y publicaron todas las passwords!”
Poco después, en un blog aparece información más completa, y un consejo al cual adhiero: “Como medida de seguridad, vayan a los otros servicios web donde usen esa combinación específica de mail + clave para ingresar y cámbienlo urgente…”
Día 24 muy de madrugada, hay revuelo en la blogosfera, y hasta urabá de Colombia pasa el dato. Los molestos de siempre piden a gritos conocer la URL donde están las claves.
Para ese momento, el que salió a poner la cara y bancarse los cachetazos-bit fue Gastón Bercún, de Geelbe. Y para aclarar el panorama, se pusieron en el blog de geelbe.com dos textos que explican la versión oficial de lo sucedido. Recomiendo leer los “comentarios”, además de las palabras de la compañía.
Ahora, mi resumen.

• La empresa afirma que lo que se publicó en el blog del presunto hacker fueron 461 pares “nombre de usuario-contraseña”. Nada más.
• Los usuarios cuyos datos aparecieron en ese blog (algunos, gente muy conocida, según me sopló una fuente confiable…) fueron contactados por email desde la empresa en relación al percance. Si un usuario de Geelbe no recibió un mail de la empresa sobre este tema, sus datos no fueron publicados.
• Las contraseñas no estaban cifradas, o como dice alguna gente, “encriptadas”. Solamente estaban codificadas en Base64, que es un sistema que también se usa para “meter” los attachment en un email. Se puede “traducir” una palabra codificada en Base64 a texto plano de manera muy simple. Ni se imaginan qué fácil es.
• El website de Geelbe fue puesto offline a la madrugada por personal de la empresa, para que no se pudieran hacer transacciones fraudulentas. Según parece, no las hubo.
• Según Bercún, el ataque no fue efectuado el 23 a la noche; lo que sucedió ese día es que alguien publicó las parejas username-password; el website de Geelbe había sido atacado tiempo atrás, aprovechando una falla de SQL en una versión anterior del website corporativo; los datos publicados indebidamente corresponden a quienes se inscribieron en agosto de 2007; las contraseñas de usuarios que se guardan en el website actual están cifradas; dentro del sitio corporativo no se guardan números de tarjetas de crédito.

A ver; desde el lado del usuario, hagamos como los norteamericanos, que están enamorados del Lessons Learned:
a) nunca, nunca, nunca, usar una misma contraseña para ingresar a diferentes sistemas, websites o lo que sea.
b) no usar contraseñas de seis caracteres.
c) no usar la verdadera contraseña del email de uno como contraseña de nada.
d) no usar la contraseña del homebanking en *ningún* otro servicio, caramba.
e) no usar contraseñas idiotas, fáciles, holgazanas, adivinables.
Y si tienen ganas de tirarse de los pelos, pueden probar cuán seguras son sus contraseñas, en esta página de Microsoft. Les aseguro que se van a llevar una desagradable sorpresa.