Problema de seguridad en febrero de 2019: preguntas frecuentes
ACTUALIZADO: 13 de febrero de 2019, a las 11 de la mañana, hora del este
(Traducido de la versión original, que se encuentra disponible aquí)
¿Qué pasó?
El 8 de febrero de 2019, nuestro equipo de ingeniería detectó un posible problema de seguridad que afectaba a determinados datos de los perfiles de los usuarios. Inmediatamente pusimos en marcha una revisión exhaustiva de nuestros sistemas para determinar la naturaleza y el alcance del problema. Hemos contratado a un experto para que nos ayude en nuestra investigación y estamos coordinándonos con las autoridades encargadas de hacer cumplir la ley en esta materia.
De acuerdo con nuestras pesquisas hasta la fecha, creemos que un tercero no autorizado accedió a nuestros sistemas y adquirió datos parciales de los usuarios aproximadamente el 5 de julio de 2018. Hemos llegado a la conclusión de que este problema afectaba a cierta información que los usuarios proporcionaban al rellenar sus perfiles de usuario, como se indica a continuación. Nuestros ingenieros están supervisando de cerca nuestra plataforma y hasta la fecha no hemos encontrado pruebas de que se haya vuelto a producir este problema.
Como precaución, vamos a restablecer las contraseñas de todas las cuentas de 500px de todos los usuarios. Se proporcionará un correo electrónico de notificación con instrucciones a los interesados sobre cómo restablecer sus contraseñas.
Actualmente se está llevando a cabo un restablecimiento de contraseñas en todo el sistema para todos los usuarios, priorizados por orden de riesgo potencial, y ya hemos forzado el restablecimiento de todas las contraseñas cifradas con MD5.
¿Qué tipo de datos de usuario se vieron afectados?
- Su nombre y apellido tal y como se introdujo en 500px
- Su nombre de usuario de 500px
- La dirección de correo electrónico vinculada a su nombre de usuario de 500px
- Un "hash" de su contraseña, que se transformó mediante un algoritmo criptográfico unidireccional.
- Su fecha de nacimiento, si la proporcionó
- Su ciudad, estado/provincia, país, si lo proporcionó
- Su género, si lo proporcionó
¿Cómo puedo saber si me he visto afectado?
Si era usuario de 500px a fecha del 5 de julio de 2018 o antes, se ha visto afectado.
Estamos en vías de notificar a todos los usuarios por correo electrónico, así como "in situ" y mediante notificaciones móviles, sin embargo, dado el volumen de usuarios afectados, puede haber retrasos en las notificaciones que reciba.
Independientemente de si se vio directamente afectado o no, dada la naturaleza de los datos personales en cuestión, le informamos de este asunto para que pueda tomar las medidas necesarias para protegerse contra el riesgo de suplantación de identidad (phishing), recibir correos basura (spam) y cualquier otro tipo de uso indebido de su información como consecuencia de este problema. Le recomendamos que cambie su contraseña en cualquier otro sitio web o aplicación en el que utilice una contraseña igual o similar a la contraseña de su cuenta de 500px.
Aún no he recibido un correo electrónico para restablecer mi contraseña.
Actualmente estamos trabajando en informar a toda nuestra base de usuarios, priorizados por riesgo potencial. Sin embargo, dada la cantidad de usuarios afectados, esta tarea se prolongará durante un día como mínimo. Los usuarios pueden recibir la notificación por correo electrónico que incluye un aviso para restablecer su contraseña en diferentes momentos. Si aún no ha recibido el correo electrónico, le recomendamos que restablezca su contraseña si todavía no lo ha hecho.
Si ha marcado los correos electrónicos de 500px como correo no deseado en el pasado, es posible que no reciba el correo electrónico de notificación. Lamentablemente, este no es un problema que podamos corregir nosotros mismos (asegurarnos de que nuestros usuarios no reciban correos electrónicos que vean como correo no deseado). En lugar de eso, tendrá que hacer una lista blanca de correos electrónicos de 500px.com para recibirlos de nuevo con su proveedor de servicios de correo electrónico. El proceso puede ser diferente en función del proveedor de correo electrónico que utilice.
Ya he restablecido mi contraseña. ¿Tengo que hacerlo de nuevo?
Si restablece su contraseña después de las 3 de la mañana, hora del este del 12 de febrero, no es necesario que lo haga de nuevo. Sin embargo, si lo desea, puede restablecer su contraseña aquí.
¿Cuándo supieron que había un problema de seguridad?
El 8 de febrero, nuestro equipo de ingenieros detectó un posible problema de seguridad y comenzó a investigar de inmediato.
¿Qué han hecho para solucionarlo?
- Dada la naturaleza de los datos personales involucrados, ya hemos forzado un restablecimiento de todas las contraseñas cifradas con MD5, y se está llevando a cabo un restablecimiento de contraseñas en todo el sistema.
- Hemos comprobado el acceso a nuestros servidores, bases de datos y otros servicios de almacenamiento de datos confidenciales.
- Hemos supervisado y seguimos supervisando nuestro código fuente, tanto público como interno, para protegerlo de problemas de seguridad.
- Nos hemos asociado con expertos líderes en seguridad cibernética para proteger aún más nuestro sitio web, nuestras aplicaciones móviles, nuestros sistemas internos y nuestros procesos de seguridad.
- Estamos modificando nuestro proceso interno de desarrollo de software.
- Seguimos actualizando nuestra infraestructura de red.
Si detectaron la vulneración el 8 de febrero, ¿por qué me entero ahora?
Era importante que pudiéramos asegurarnos de proporcionar a nuestros usuarios información precisa antes de confirmar los detalles de la infracción. Dada la naturaleza de los datos personales en cuestión, nuestros principales motivos de preocupación, y por lo tanto nuestras actividades en orden de prioridad, eran garantizar:
1) que nuestro sistema estuviese protegido;
2) que los datos de nuestros usuarios estuvieran protegidos contra nuevas vulneraciones y accesos no autorizados a las cuentas;
3) que se transmitiese información precisa a nuestros usuarios, seguida de una comunicación pública.
Actualmente estamos trabajando para notificar a toda nuestra base de usuarios, priorizados por riesgo potencial. Sin embargo, dada la cantidad de usuarios afectados, esta tarea durará un día como mínimo. Aunque esta vulneración no afecta a los usuarios registrados después del 5 de julio de 2018, queremos tomar todas las precauciones posibles para garantizar la seguridad de nuestros usuarios.
¿Qué datos no se robaron?
En estos momentos, no hay ningún indicio de acceso no autorizado a su cuenta, y ninguna evidencia de que se hayan visto afectados otros datos relacionados con su perfil de usuario, tales como la información de la tarjeta de crédito (que no se almacena en nuestros servidores), si se utilizó para hacer cualquier compra, o cualquier otra información personal sensible.
¿Han avisado a las fuerzas del orden?
Hemos avisado a las fuerzas del orden, además de contratar a una empresa de seguridad para que nos ayude en la investigación y en los siguientes pasos.
¿Cómo podemos confiar en que esto no volverá a suceder?
En el futuro, continuaremos mejorando nuestras medidas de seguridad para ayudar a mantener sus datos seguros y estamos implementando medidas adicionales para ayudar a evitar que este tipo de incidentes vuelvan a ocurrir.
Seguimos actualizando nuestra infraestructura de red. En los últimos 12 meses, hemos llevado a cabo una importante actualización de nuestra infraestructura de red, proyecto que está a punto de concluir, y que también supondrá un aumento significativo de la seguridad.
Si he iniciado sesión con una cuenta de redes sociales (Google+, Facebook), ¿aun así tienen mi contraseña?
Al iniciar sesión como usuario desde una plataforma de redes sociales externa, puede introducir una contraseña con nosotros, pero no almacenamos sus contraseñas de inicio de sesión de Google+, Facebook ni las contraseñas de inicio de sesión de la red social. Cuando se conecta a través de una cuenta de redes sociales, recibimos un testigo de sesión que se almacena en nuestros servidores. Cuando el testigo de sesión expira, le pedimos que se conecte a través de su cuenta de redes sociales para darnos un nuevo testigo cada vez.
Quiero borrar mi cuenta de 500px.
Tenga en cuenta que el hecho de borrar su cuenta de 500px no afecta a que su información se haya visto comprometida por esta vulneración. Los pasos para eliminar su cuenta se encuentran aquí: https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-
De acuerdo con nuestra política de privacidad, podemos conservar sus datos si es necesario para cumplir con obligaciones legales específicas.
¿Cómo puedo obtener una copia de todos mis datos de 500px?
500px puede enviarle un archivo de sus datos por correo electrónico. Por favor, envíe una solicitud a help@500px.com y podemos satisfacer la solicitud de datos en un plazo de 72 horas desde que nuestro equipo confirme la recepción del correo electrónico.
No recibí el correo electrónico de restablecimiento de contraseña.
Si invalidamos su contraseña, se le pedirá que la restablezca la próxima vez que intente iniciar sesión en 500px con una contraseña. Nos pondremos en contacto con los usuarios afectados lo antes posible en los próximos días.
El enlace del correo electrónico no funciona.
Si invalidamos su contraseña, se le pedirá que la restablezca la próxima vez que intente iniciar sesión en 500px con una contraseña. Recomendamos que lo haga lo antes posible.
¿Por qué tengo que restablecer mi contraseña/por qué no puedo iniciar sesión?
Aunque contamos con medidas de seguridad para contraseñas, estamos tomando medidas adicionales para proteger sus datos personales. Como precaución, estamos solicitando a todos los usuarios que restablezcan las contraseñas de sus cuentas de 500px.
¿Por qué tengo varios correos electrónicos y enlaces?
Es posible que haya recibido varios mensajes o avisos de restablecimiento de contraseña desde 500px. Esto se debe a que estamos tomando todas las precauciones para asegurarnos de que todos nuestros usuarios estén al tanto de este incidente.