A menos que me haya perdido algo, no creo que RSA / EMC haya salido y haya dicho públicamente qué fue robado a principios de año cuando se vieron comprometidos. Así que sé que las respuestas a esta pregunta serán conjeturas. Dicho esto, ¿cómo permitiría la información que se tomó de RSA que alguien inicie sesión como usuario final en una organización que estaba usando SecureID? ¿No necesitaría el atacante la asignación entre el nombre de usuario y la clave de serie de un token específico? Y si el atacante tuviera esa información, ¿no necesitaría el PIN del usuario? La gente siempre está usando un PIN con el código de acceso del token, ¿verdad? De lo contrario, lo ha reducido a un solo factor de autenticación.
Tal vez la ingeniería social es la respuesta. ¿Hay algo más que no haya pensado? Gracias de antemano por la visión.