La aplicación de inversión y comercio de acciones Robinhood admitió recientemente que almacena credenciales de usuario como contraseñas en texto sin formato (a través de TechCrunch).
Contraseñas de texto sin formato
Robinhood dice que descubrió las contraseñas en su sistema, pero no encontró evidencia de que “alguien fuera de nuestro equipo de respuesta” haya accedido a ellas. Sin embargo, lo ideal sería que las contraseñas también estuvieran protegidas contra los empleados. Se envió un correo electrónico a los clientes notificándoles del incidente, que dice:
Cuando establece una contraseña para su cuenta de Robinhood, utilizamos un proceso estándar de la industria que evita que cualquier persona de nuestra empresa la lea. El lunes por la noche, descubrimos que algunas credenciales de usuario se almacenaban en un formato legible dentro de nuestros sistemas internos. Queríamos informarle que es posible que se haya incluido su contraseña de Robinhood.
Resolvimos este problema y, después de una revisión exhaustiva, no encontramos evidencia de que alguien fuera de nuestro equipo de respuesta haya accedido a esta información. Por precaución, le recomendamos que cambie su contraseña de Robinhood.
Nos tomamos en serio este tipo de asuntos. Ganarnos y mantener su confianza es nuestra principal prioridad y estamos comprometidos a proteger su información. Háganos saber si tiene alguna pregunta, estamos aquí para ayudar
Con suerte, Robinhood no cree que el “texto sin formato” sea un estándar de la industria. Aunque, como señala Devin Coldewey, bien podría ser un estándar, ya que Google, Facebook, Twitter y otros fueron sorprendidos haciendo lo mismo.
[G Suite Passwords Stored in Plaintext Since 2005]
[Hundreds of Millions of Facebook Passwords Were Stored as Plain Text. For Years.]
