Unacademy, una popular plataforma de aprendizaje en línea en India, parece haber sufrido una violación de datos en enero que ha puesto en riesgo los detalles de alrededor de 2.2 millones de usuarios de crore. Un pirata informático pudo obtener la base de datos expuesta de los usuarios de Unacademy y comenzó a venderlos en la Web oscura por $ 2,000 (aproximadamente 1,51,800 rupias), según la firma estadounidense Cyble de seguridad cibernética. Según los informes, la base de datos incluye nombres de usuario, contraseñas hash, direcciones de correo electrónico y nombres y apellidos de los usuarios. Unacademy ha confirmado la violación en un comunicado, aunque ha dicho que solo 11 millones de usuarios se vieron afectados.
Cyble fue capaz de descubrir la base de datos de Unacademy disponible para su compra en la Web oscura el 3 de mayo, informes BleepingComputer. Se dice que la base de datos expuesta tiene un total de 2,19,09,707 registros de usuarios. Estos registros incluyen no solo los nombres de usuario y las direcciones de correo electrónico de los usuarios afectados, sino que también tienen contraseñas hash SHA-256, nombres y apellidos de los usuarios y detalles sobre si la cuenta está activa.
Se informa que la última cuenta de usuario creada en la base de datos es del 26 de enero. Esto sugiere que el hacker pudo violar los sistemas de Unacademy en algún momento de enero.
Detalles corporativos expuestos también
Junto con los detalles de los usuarios habituales, Cyble confirmó que hay cuentas que usan direcciones de correo electrónico corporativas que forman parte de la base de datos expuesta. Según se informa, estas direcciones de correo electrónico incluyen nombres de empresas como Cognizant, Google, Infosys y Wipro, así como el inversor de Unacademy, Facebook, entre otros. Uno de los principales temores es que si alguno de los usuarios afectados usara la misma contraseña en su lugar de trabajo que usaban para iniciar sesión en la plataforma de aprendizaje, el hacker también podría obtener acceso a sus cuentas profesionales.
En una declaración a Gadgets 360, el cofundador y director de tecnología de Unacademy, Hemesh Singh, reconoció la violación de datos, aunque afirmó que solo 11 millones de usuarios se vieron afectados según las investigaciones internas, no el número de casi 22 millones reportado por Cyble. "Esto se debe a que solo hay alrededor de 11 millones de datos de correo electrónico de usuarios disponibles en la plataforma Unacademy", dijo.
"Hemos estado monitoreando de cerca la situación y nos gustaría asegurar a nuestros usuarios que no se ha violado ninguna información confidencial, como datos financieros o ubicación. La seguridad de los datos y la protección de la privacidad de nuestros usuarios es de suma importancia para nosotros y estamos haciendo todo lo posible, para garantizar que no se vea comprometida ninguna información personal. Seguimos estrictos métodos de encriptación utilizando el algoritmo PBKDF2 con un hash SHA256, lo que hace que sea muy inverosímil que cualquiera pueda descifrar contraseñas. También seguimos un sistema de inicio de sesión basado en OTP que proporciona una capa adicional de seguridad a nuestros usuarios ," él continuó.
Singh también declaró que la compañía está haciendo una verificación de antecedentes completa y abordará cualquier posible laguna de seguridad para mejorar su mecanismo de seguridad. "Estamos en comunicación con nuestros usuarios para mantenerlos actualizados sobre el progreso", agregó.
Sin embargo, BleepingComputer afirmó que pudo ver las contraseñas hash entre los registros disponibles en la base de datos expuesta. También se informa que el hacker tiene datos además de los registros de los usuarios. Sin embargo, se desconoce qué datos adicionales estuvieron expuestos.
Recomendaciones para usuarios de Unacademy
Si es uno de los usuarios de la plataforma Unacademy, se recomienda cambiar su contraseña de inmediato. También debe realizar cambios en otros sitios si está utilizando la misma contraseña en todas sus cuentas en línea. Además, debe tener cuidado con los correos electrónicos de phishing dirigidos.
En 2020, ¿obtendrá WhatsApp la característica asesina que todo indio está esperando? Samsung Galaxy S20 en la India? Hablamos de esto en Orbital, nuestro podcast tecnológico semanal, al que puede suscribirse a través de Podcasts de Apple o RSS, descarga el episodio, o simplemente presiona el botón de reproducción a continuación.