Ni Dunkin' Donuts se salva de un “nuevo” método para robar contraseñas

Ni Dunkin' Donuts se salva de un “nuevo” método para robar contraseñas

Ojo con repetir las contraseñas. Es la segunda vez en cuatro meses que la cadena notifica a los usuarios por violaciones de sus cuentas.

La cadena Dunkin' Donuts anunció que fue víctima de un ataque de relleno de credenciales, en el que un número indeterminado de clientes sufrió la vulneración de sus cuentas mediante un peligroso método para robar contraseñas.

El método que están usando las personas que intentan robar las cuentas se llama originalmente credentials stuffing o relleno de contraseñas y consiste básicamente en toman combinaciones de nombres de usuario y contraseñas filtradas en otros sitios y utilizarlas para obtener acceso ilegal a cuentas en sitios nuevos.

Si bien este método no es nuevo, y por eso lo ponemos entre comillas, sí ha adquirido bastante notoriedad en el último tiempo mediante la programación de bots para automatizar el proceso. Si a esto le agregamos las inmensas bases de datos que andan dando vuelta, el asunto se complica más.

De hecho, el informe Estado de Internet en materia de seguridad de 2018, elaborado por Akamai, mencionó que durante los pasados meses de mayo y junio, el número de intentos de acceso (en cada uno de esos dos meses) subió a 8.300 millones.

Pero bueno, volviendo a Dunkin' Donuts, la firma reportó un primer ataque de relleno de credenciales a fines de noviembre del año pasado y ahora reportó otro que habría afectado a más usuarios.

El robo de las cuentas tiene relación con un sistema de recompensas llamado DD Perks, donde los usuarios básicamente acumulan puntos para obtener descuentos o canjearlos por otros productos.

Los datos que almacena esta cuenta son nombre y apellido de un usuario, la dirección de correo electrónico, un número de cuenta de 16 dígitos y un código QR de DD Perks. Todo esto está protegido por la contraseña.

Se ha concluido que los hackers no estaban interesados en las cuentas en sí mismas, más que para venderlas por la dark web. Desde la compañía mencionaron a ZDNet que efectivamente, notificaron a los usuarios, pero es un tema que no pasa solamente por ellos:

"Los sistemas internos de Dunkin no experimentaron una violación de la seguridad de los datos. Sin embargo, cuando nuestros proveedores de seguridad nos informan que terceros pueden haber obtenido los nombres de usuario y las contraseñas de nuestros clientes (a través de las violaciones de seguridad de otras compañías u organizaciones), tomamos medidas para proteger al consumidor”.

En fin, la conclusión a la que se puede llegar es que, la vulneración en una cuenta puede extenderse a otras si es que se tiene la misma contraseña. Desconocidos pueden probarla en muchísimos sitios con solo un par de clics.