El popular sitio web de planificación de bodas Zola, conocido por sus registros de regalos en línea, administración de listas de invitados y sitios web de bodas, confirmó el lunes que los piratas informáticos lograron acceder a las cuentas de varios de sus usuarios e intentaron iniciar transferencias de efectivo fraudulentas.
Durante el fin de semana, algunos usuarios de Zola publicaron en las redes sociales que las cuentas bancarias vinculadas se habían utilizado para comprar tarjetas de regalo. Un tuit marcado por un usuario de Reddit afirmaba que las cuentas de Zola descifradas se revendían en el mercado negro y se usaban para comprar vales de regalo.
La directora de comunicaciones de Zola, Emily Forrest, le dijo a The Verge que el acceso no autorizado a la cuenta tuvo lugar a través de un ataque de «relleno de credenciales», donde los piratas informáticos prueban combinaciones de correo electrónico y contraseña robadas de otras infracciones en una variedad de sitios web para apuntar a personas que usan la misma contraseña, en múltiples sitios.
“Entendemos la interrupción y el estrés que esto causó a algunas de nuestras parejas, pero nos complace informar que todos los intentos de transferencias fraudulentas de fondos en efectivo fueron bloqueados”, dijo Forrest. “Las tarjetas de crédito y la información bancaria nunca estuvieron expuestas y continúan estando protegidas”.
Forrest también dijo que la compañía está al tanto de los pedidos de tarjetas de regalo fraudulentos y está trabajando para corregirlos. Ella dijo que no hubo un ataque directo a la infraestructura de Zola y que menos del 0.1 por ciento de las parejas que usaban Zola se vieron afectadas.
El domingo, Zola envió un correo electrónico masivo informando a los usuarios que las contraseñas de las cuentas se habían restablecido automáticamente. Zola dijo que esta acción se había extendido a todos los usuarios del sitio “por precaución”, aunque la gran mayoría no se vio afectada.
Las versiones de iOS y Android de la aplicación Zola también se deshabilitaron durante el incidente, pero desde entonces se han vuelto a habilitar. Como destaca TechCrunch, Zola actualmente no proporciona ninguna autenticación de dos factores para los usuarios de cuentas, lo que hace que los ataques de relleno de credenciales sean mucho más fáciles de lograr.
La falta de un proceso de autenticación secundario va en contra de las mejores prácticas para un sitio como Zola, que maneja una gran cantidad de datos personales y financieros de los usuarios. Zola ha estado dirigiendo a los usuarios que se han visto afectados a ponerse en contacto con support@zola.com para obtener más información.