Una serie de logs que contenían información sin cifrar de usuarios y contraseñas del Institute of Electrical and Electronics Engineers (IEEE), uno de las mayores organizaciones profesionales de ingenieros de la computación, fue analizado por un graduado de la Universidad de Copenhague.
Radu Dragusin accedió al archivo, disponible en uno de los servidores de la IEEE por al menos un mes, donde descubrió 99.979 nombres de usuario únicos, que comprometerían al 24% de los 411.000 miembros que tiene la organización en todo el mundo, algunos de los cuales trabajan en empresas como Google, IBM, Apple y otros gigantes.
“Si bien dejar abierto públicamente un directorio FTP que contiene 100 GB de logs podría ser un error al fijar los permisos de acceso, mantener tanto los nombres de usuario como las contraseñas en texto plano es mucho más problemático”, escribió Dragusin. No hay claridad de quién más puede haber accedido al archivo, que podría estar usando las contraseñas para acceder a las cuentas de los afectados – cabe recordar que la gente suele reutilizar contraseñas para varios servicios.
Por otro lado, el análisis de Dragusin muestra que los ingenieros también eligen muy malos passwords: “123456″ apareció 271 veces, mientras “ieee2012″, “12345678″, “123456789″ y “password” se usaron 270, 246, 222 y 109 veces respectivamente.
La IEEE señaló a Ars Technica que el problema ya se había solucionado y el log ya no era accesible, y que la organización está avisando a todos los miembros posiblemente afectados por esta filtración. En unacarta enviada a los afectados, se incluyen además consejos sobre cómo elegir una buena contraseña, algo que nunca está de más recordar.
