La plataforma de reservas de restaurantes Zomato sufre una brecha de seguridad que ha podido afectar a 17 millones de usuarios tras salir a venta su base de datos en la Dark Web.
El director de IT del eCommerce, Gunjan Patidar, ha confirmado que la información a la que ha tenido acceso el hacker incluye números de identidad, nombres, nombres de usuario, direcciones de email y contraseñas pero no datos financieros. Zomate utiliza habitualmente la función criptográfica hash en las contraseñas con un algoritmo hashing unidireccional y múltiples iteraciones hashing, con lo que Patidar ha indicado que no es sencillo acceder a las cuentas de usuario: “las contraseñas de los usuarios no pueden ser convertidas fácilmente en texto plain, aunque aconsejamos a nuestros usuarios a cambiar su contraseña en el resto de plataformas en los que empleen la misma clave de acceso”.
Según la compañía, una vez conocida la brecha, todas las contraseñas fueron automáticamente reseteadas y las cuentas de los usuarios bloqueadas para forzar a estos a logarse de nuevo tras el incidente. Asimismo, Zomato ha explicado que el 60% de sus usuarios accede a la plataforma utilizando los servicios de OAuth, Google o Facebook, “con lo que sus contraseñas se encontraban a salvo”.
Zomato ha manifestado que el director de IT ha sido capaz de contactar con el hacker que accedió a sus sistemas: “el hacker ha sido muy cooperativo con nosotros. Esta persona quería que conociéramos las vulnerabilidades de seguridad en nuestro sistema ya que forma parte de la comunidad ética de hackers para encontrar posibles lagunas de seguridad. Su petición ha sido que desarrollemos un programa de recompensas para investigadores de seguridad”.
La información sobre la brecha de seguridad fue publicada por un el blog Hackread, junto con el precio por la base de datos “$1,001.43 (Bitcoins 0.5587)” afirmando que la base había sido vendida en la Dark Web.
Zomato, anteriormente conocida como Foodiebay, es una plataforma de búsqueda de restaurantes que opera en más de 23 países, incluyendo Portugal, ReinoUnido, Estados Unidos, Emiratos Árabes, India o Brasil, y que fue fundada en 2008 por Deepinder Goyal and Pankaj Chaddah.
Supuestamente, ésta no es la primera vez que Zomato es el target de los hackers, en junio de 2015 un investigador de seguridad indio manifestó que había accedido a información de 62.5 millones de usuarios de la plataforma como números de teléfono direcciones de email y fotos de Instagram
