Houzz es una plataforma en línea dedicada a la renovación y el diseño de casas. Hoy (1 de febrero de 2019), notificaron a sus clientes sobre una violación de datos que supuestamente ocurrió en diciembre de 2018.

Las violaciones de datos desafortunadamente se han convertido en un evento común. De hecho, apodamos 2018 el año del tsunami de brecha de datos . Además, Houzz no es una corporación gigante con millones de clientes. Entonces, ¿por qué estamos escribiendo sobre esto, puede preguntar? Principalmente porque creemos que hay algunas corporaciones gigantes que pueden aprender de este evento como un ejemplo sobre cómo manejar una violación de datos de manera adecuada.

Giro de vuelta

Descubrir e informar a sus clientes sobre una violación que ocurrió hace menos de dos meses es mucho mejor que lo que hemos visto recientemente. No esperaron a que se terminara la investigación sobre cómo ocurrió la violación. Tan pronto como supieron lo que fue robado, decidieron informar a los afectados. Por supuesto, es imperativo que obtenga esta información en las manos de sus clientes tan pronto como sea posible. Probablemente, este sea el motivo por el cual una investigación forense líder está llevando a cabo la investigación. La policía también ha sido notificada.

Informar a los clientes

Houzz informó a sus clientes directamente por correo electrónico, así como en su sitio web, sobre la violación. Ellos dijeron:

Houzz supo recientemente que un tercero no autorizado había obtenido un archivo que contenía algunos de nuestros datos de usuario.

El correo comienza con esta divulgación, continúa explicando qué sucedió y qué información fue robada. También contiene un enlace a su sitio web, donde puede encontrar más información .

Clientes de correo Houzz

La información proporcionada es concisa y precisa, no solo una observación general de que no se robó información financiera, lo que afortunadamente no fue robada. Houzz incluyó una lista de información que fue robada.

Los siguientes tipos de información podrían haber sido afectados por este incidente:

  • Cierta información públicamente visible del perfil Houzz de un usuario solo si el usuario hizo pública esta información (por ejemplo, nombre, apellido, ciudad, estado, país, descripción del perfil)
  • Ciertos identificadores internos y campos que no tienen un significado discernible para nadie fuera de Houzz (por ejemplo, país del sitio utilizado, si un usuario tiene una imagen de perfil)
  • Cierta información de cuenta interna (p. Ej., ID de usuario, nombres de usuario anteriores de Houzz, contraseñas cifradas unidireccionadas con un nombre único por usuario, dirección IP, ciudad y código postal deducidos de la dirección IP) y cierta información de cuenta disponible públicamente (p. Ej., Nombre de usuario actual de Houzz y si un usuario inicia sesión en Houzz a través de Facebook, la ID pública de Facebook del usuario)

Es importante destacar que este incidente no involucra números de Seguro Social, tarjetas de pago, cuentas bancarias u otra información financiera.

En el sitio web, los clientes pueden encontrar información detallada sobre cómo cambiar su contraseña. Y, como hemos hecho en el pasado, recomiendan a sus clientes que usen una contraseña única para cada servicio,  que no tiene por qué ser una molestia tan grande como cabría esperar.

Mejoras

Houzz anunció mejoras de seguridad sin entrar en detalles. Si bien los clientes pueden encontrar esto vago, tiene sentido retener los detalles, ya que la investigación está en curso, y no querrían que los actores de amenazas sean  más sabios. Al ver que ya estaban usando contraseñas cifradas unidireccionales con una sal única para cada usuario fue ciertamente alentador.

Tratar con las violaciones de datos

Las infracciones de datos ocurren todo el tiempo. Sucede lo mejor de las empresas. Es la forma en que esas organizaciones tratan con ellos lo que puede salvar la cara. Lo que otros negocios pueden quitar de este ejemplo:

  • Informe a los clientes tan pronto como tenga sentido y sea preciso sobre la información robada.
  • Acércate a tus clientes directamente. No dejes que lo lean en los periódicos o en las redes sociales.
  • Involucrar a la policía y una firma especializada en investigaciones forenses.
  • Aprende de lo que salió mal y mejora en eso.