773 millones de emails y 21 millones de passwords únicos, expuestos.

Iniciado por AXCESS, Enero 18, 2019, 03:47:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 18, 2019, 03:47:15 PM Ultima modificación: Enero 18, 2019, 03:55:26 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El conjunto de datos fue reportado por primera vez por el investigador de seguridad Troy Hunt, quien sostiene "Have I Been Pwned", una forma de buscar si su propio correo electrónico o contraseña se ha visto comprometido por una violación en cualquier momento. (Su triquiñuela tiene...).
La llamada Colección # 1 es la brecha más grande en la colección de Hunt, y no es particularmente cercana.

El Hack

En todo caso, los números anteriores desmienten el volumen real de la brecha, ya que reflejan el esfuerzo de Hunt por limpiar el conjunto de datos para tener en cuenta los duplicados y eliminar los bits inutilizables. En su forma original, comprende 2.700 millones de filas de direcciones de correo electrónico y contraseñas, incluidas más de 1.000 millones de combinaciones únicas de direcciones de correo electrónico y contraseñas.

El tesoro apareció brevemente en MEGA, el servicio en la nube, y persistió en lo que Hunt llama "un foro de piratería popular". Estaba en una carpeta llamada Colección # 1, que contenía más de 12,000 archivos que pesan más de 87 gigabytes. Si bien es difícil confirmar exactamente de dónde proviene toda esa información, parece que se trata de una brecha de violaciones copiladas en una base de datos; es decir, afirma que agrega más de 2,000 bases de datos filtradas que contienen contraseñas cuyo hashing de protección ha sido descifrado.

"Simplemente parece una colección completamente aleatoria de sitios, para maximizar la cantidad de credenciales disponibles para los hackers" "No hay patrones obvios, solo exposición máxima", declara Hunt.

Ese tipo de violación de Voltron ha ocurrido antes, pero nunca en esta escala. De hecho, no solo es la infracción más grande que se ha hecho pública, sino que está superada solo por el par de incidentes de Yahoo, que afectaron a 1 mil millones y 3 mil millones de usuarios, respectivamente, en tamaño.
Afortunadamente, los datos robados de Yahoo no han aparecido.
Todavía...

¿Quién está afectado?

Las listas acumuladas parecen diseñadas para usarse en los llamados ataques de relleno de credenciales, en los que los piratas informáticos lanzan combinaciones de correo electrónico y contraseña en un sitio o servicio determinado. Estos son procesos típicamente automatizados que se aprovechan especialmente de las personas que reutilizan las contraseñas en todo el internet.

El lado positivo de la Colección # 1 que se está haciendo público es que puede descubrir definitivamente si su correo electrónico y contraseña estaban entre las cuentas afectadas. Hunt ya los ha cargado en Have I Been Pwned; simplemente escriba su dirección de correo electrónico y mantenga los dedos cruzados. Mientras esté allí, también puede averiguar de cuántas infracciones anteriores ha sido víctima. Cualquiera que sea la contraseña que esté utilizando en esas cuentas, cámbiela.
 
¿Qué tan serio es esto?

¡Bastante serio! Si bien no parece incluir información más confidencial, como números de tarjeta de crédito o de la Seguridad Social, la Colección # 1 es histórica solo por su escala. Algunos elementos también lo hacen especialmente desconcertante. Primero, alrededor de 140 millones de cuentas de correo electrónico y más de 10 millones de contraseñas únicas en la Colección # 1 son nuevas para la base de datos de Hunt, lo que significa que no son solo duplicados de megabreaches anteriores.

Luego está la forma en que esas contraseñas se guardan en la Colección # 1. "Estas son todas las contraseñas de texto sin formato. Si tomamos una brecha como Dropbox, es posible que haya 68 millones de direcciones de correo electrónico únicas allí, pero las contraseñas fueron encriptadas criptográficamente (Hashes), lo que las hace muy difíciles de usar ", dice Hunt. En cambio, la única habilidad técnica que alguien con acceso a las carpetas necesita para ingresar en sus cuentas es la capacidad de desplazarse y hacer clic.

Y, por último, Hunt también señala que todos estos registros no se encontraban en algún lugar oscuro de la red, sino en uno de los sitios de almacenamiento en la nube más populares, hasta que se eliminó, y luego en un sitio público de piratería. Ni siquiera estaban a la venta; sólo estaban disponibles para que cualquiera los tomara.

Se aplican los consejos habituales para protegerse. Nunca reutilice contraseñas en múltiples sitios; aumenta su exposición en órdenes de magnitud. Obtener un administrador de contraseñas. Have I Been Pwned se integra directamente en 1Password, que verifica automáticamente todas sus contraseñas en su base de datos, pero no le faltan buenas opciones. Habilite la autenticación de dos factores basada en la aplicación en tantas cuentas como pueda, de modo que una contraseña no sea su única línea de defensa. Y si encuentra su dirección de correo electrónico o una de sus contraseñas en Have I Been Pwned, al menos sepa que está en buena compañía.

Fuente:
Wired
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

[Comentario personal:
He realizado una traducción literal e imparcial del artículo.
No obstante, me parece importante destacar que, tiene como función implícita, cierta promoción al sitio "Have I Been Pwned" y a su función.
Sea cierta la información o no, recordar que:

La mejor forma de solucionar la incertidumbre de filtrado de credenciales privadas es: cambiando su clave actual, por otra más robusta. Las credenciales privadas no se exponen bajo ningún concepto según la experiencia y saludables prácticas de seguridad.]
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario