Filtración masiva de datos de los usuarios de StockX

La página web StockX (una suerte de metabuscador que refleja la cotización en el universo de las deportivas) advertía hace un par de días que había detectado actividad sospechosa en su página web, y recomendaba a sus usuarios actualizar su contraseña lo antes posible a través de un correo electrónico oficial.

Pues bien, la compañía confirmaba hoy mismo a través de un comunicado publicado en su página web que los ciberataques sufridos en los últimos días se han saldado con la filtración de algunos de los datos de sus usuarios. 

Según una información de TechCrunch, el autor del ciberataque habría sustraído cerca de 6,8 millones de datos entre los que se incluyen nombres, dirección email, dirección de envío postal, historial de compras y contraseñas (por suerte, encriptadas). El 'hacker' habría tenido acceso también a información de menor valor como el número de calzado de los usuarios, la divisa en la que realizan las transacciones y la versión de su dispositivo. 

Así puedes crear una contraseña verdaderamente segura

El medio TechCrunch quiso verificar la filtración de dicha información y contactó para ello con algunos de los afectados, corroborando así que la información concordaba con los datos proporcionados por los propios usuarios en la página web (datos que de otra manera, no podrían conocer). 

Si bien los autores del ataque no parecen haber sustraído información altamente confidencial (véase, datos bancarios), la filtración podría comprometer igualmente a los usuarios si los datos se llegan a poner a la venta a través de la Dark Web. 

El caso también plantea algunas preguntas, como la de por qué StockX alertó a sus usuarios de una posible vulnerabilidad en la web y les animó a cambiar sus contraseñas, pero no informó del alcance real del problema y del riesgo de una posible filtración. 

En el comunicado, la empresa asegura que se han tomado acciones de forma inmediata para proteger las cuentas de los clientes, y justifica el envío de emails de restablecimiento de contraseña 48 horas antes del anuncio como medida preventiva, cuando aún no se conocía la gravedad de la situación. "Se tomó esta medida tan pronto como detectamos actividad sospechosa en la plataforma, en el momento en que iniciamos la investigación y no conocíamos la naturaleza y alcance del ataque. A pesar de que no reuníamos toda la información en un primer momento, creímos necesario actuar rápidamente para proteger la información de nuestros clientes", explicaba la compañía a través del comunicado.