En la madrugada de hoy (Miércoles 24, feriado en Argentina), hackers han logrado ingresar a la base de usuarios de Geelbe, y se han robado (según ellos dicen) alrededor de 70.000 usernames y contraseñas de sus usuarios.
Han publicado, en un blog, los datos de acceso de 461 usuarios, pero nada garantiza que no publiquen los datos de los restantes usuarios. Por el momento, la gente de Geelbe está aconsejando a todos sus usuarios que cambien las contraseñas de otros servicios en donde utilizaban la misma clave.
Dejando de lado el cómo accedieron a la base de datos, lo importante es que todas las contraseñas estaban encriptadas codificadas en base64, es decir, convertidas en una cadena de texto totalmente reversible. Esto es una pesadilla de seguridad, y nos indica el poco cuidado puesto por parte de este sitio “exclusivo y privado” en resguardar la información de sus usuarios. Afortunadamente, como todo lo relacionado al pago lo manejan a través de otra empresa (NPS-Sub1), los datos de tarjetas de crédito nunca se vieron comprometidos.
Para los usuarios, ¿cómo saber si sus contraseñas están siendo almacenadas de manera segura? Si cuando piden recuperar la contraseña, les envían la contraseña original: ALERTA! Significa que están guardando la clave en algún formato que se puede recuperar. Lo ideal es que les envíen una nueva password, generada al azar. Esto sería un indicio de que la contraseña almacenada no se puede recuperar (aunque tal vez la sigan guardando en un formato no seguro).
Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)
No necesariamente esté hecho por freelances, hay freelances muy profesionales que saben lo que hacen y empresas de desarrollos web muy conocidas que improvisan sobre la marcha.
Sacando el dato de la inversión, creo que lo grave es: en dónde están invirtiendo esos USD 3.2M?? Ya vemos que en seguridad e infraestructura no… Creo que la idea de los socios es inflar el valor de la marca para luego venderla. Y esto que les pasó, les juega terriblemente en contra.