El Equipo de Respuesta a Incidentes de Seguridad de Australia (AusCERT, por sus siglas en inglés) reconoció haber perdido un DVD con los nombres de usuarios y contraseñas de suscriptores del servicio de alertas “Ponte listo” (Stay Smart Online Alert Service) del Gobierno Federal, en su versión de correo electrónico.

El AusCERT envió el disco, que contenía nombres de usuario, direcciones de correo electrónico, contraseñas y preguntas de recuperación de contraseñas a través del sistema Postal de Australia el pasado 11 de abril de este año, pero nunca fue recibido en el Departamento de Ancho de Banda, Comunicaciones y Economía Digital.

El departamento alertó a los suscriptores afectados la semana pasada, pero aseguraron que las contraseñas son imposibles de leer gracias a un hash criptográfico. Sin embargo, ni el AusCERT ni el Departamento al que se dirigió el disco pudo aclarar qué tipo de cifrado se utilizó para asegurar los datos.

Algoritmos de cifrados conocidos como débiles, tal es el caso del MD5, pueden ser fácilmente quebrados, lo que pondría en riesgo la información de los suscriptores. Esto fue recientemente demostrado después de que usuarios del foro insiderpro crackearan miles de contraseñas protegidas con SHA-1 relacionadas a cuentas de LinkedIn y eHarmony.

El cifrado de las contraseñas fue roto en parte porque LinkedIn no uso la técnica de salting, lo que agrega más complejidad al cifrado.

El gobierno conminó a los usuarios a cambiar sus contraseñas pero dijo que no “hay razón para creer que esta información ha sido accedida y mal utilizada por algún tercero”.  Agregó que “no se cree que haya algún riesgo a la privacidad”.

El DVD fue enviado previo al vencimiento del contrato del AusCERT para dar el servicio en apoyo al departamento. El gobierno desarrolla nuevamente el servicio de alertas con nos nuevas compañías.

Hasta el cierre de esta publicación, no se pudo comprobar el número de suscriptores afectados.