Un investigador descubre uno de los mayores volcados de contraseñas de la historia reciente

Heaven32 Comments
Un investigador descubre uno de los mayores volcados de contraseñas de la historia reciente
Calendario con palabras Hora de cambiar la contraseña. Gestión de contraseñas.

imágenes falsas

Casi 71 millones de credenciales únicas robadas para iniciar sesión en sitios web como Facebook, Roblox, eBay y Yahoo han estado circulando en Internet durante al menos cuatro meses, dijo un investigador el miércoles.

Troy Hunt, operador del ¿Me han engañado? servicio de notificación de incumplimiento, dicho La enorme cantidad de datos se publicó en un conocido mercado clandestino que negocia la venta de credenciales comprometidas. Hunt dijo que a menudo presta poca atención a volcados como estos porque simplemente compilan y reempaquetan contraseñas publicadas previamente y tomadas en campañas anteriores.

Publicación que aparece en un sitio de infracción que anuncia la disponibilidad de datos de contraseña de naz.api.
Agrandar / Publicación que aparece en un sitio de infracción que anuncia la disponibilidad de datos de contraseña de naz.api.

No es el típico volcado de contraseñas

Algunas cosas evidentes impidieron que Hunt descartara esta, específicamente el contenido que indica que casi 25 millones de contraseñas nunca antes se habían filtrado:

  1. 319 archivos con un total de 104 GB
  2. 70.840.771 direcciones de correo electrónico únicas
  3. 427,308 suscriptores individuales de HIBP afectados
  4. El 65,03 por ciento de las direcciones ya están en HIBP (basado en un conjunto de muestras aleatorias de 1000)

“Ese último número fue el verdadero truco”, escribió Hunt. “Cuando un tercio de las direcciones de correo electrónico nunca antes se habían visto, eso es estadísticamente significativo. Esta no es solo la colección habitual de listas reutilizadas envueltas con un lazo nuevo y presentadas como la próxima gran novedad; es un volumen significativo de datos nuevos. Cuando miras la publicación del foro anterior con los datos adjuntos, la razón queda clara: son ‘registros ladrones’ o, en otras palabras, malware que ha obtenido credenciales de máquinas comprometidas”.

Una imagen redactada que Hunt publicó que muestra una pequeña muestra de las credenciales expuestas indicó que las credenciales de cuentas para una variedad de sitios fueron eliminadas. Los sitios incluían Facebook, Roblox, Coinbase, Yammer y Yahoo. De acuerdo con la afirmación de que las credenciales fueron recopiladas por un “ladrón” (malware que se ejecuta en el dispositivo de la víctima y carga todos los nombres de usuario y contraseñas ingresados ​​en una página de inicio de sesión), las contraseñas aparecen en texto sin formato. Las credenciales de cuenta tomadas en violaciones de sitios web casi siempre están codificadas criptográficamente. (Un comentario triste: la mayoría de las credenciales expuestas son débiles y fácilmente caerían en un simple ataque de diccionario de contraseñas).

Captura de pantalla que muestra una muestra de 20 pares de credenciales, con los nombres de usuario redactados.
Agrandar / Captura de pantalla que muestra una muestra de 20 pares de credenciales, con los nombres de usuario redactados.

¿Me han engañado?

Los datos recopilados por Have I Been Pwned indican que esta debilidad de contraseña está muy extendida. De los 100 millones de contraseñas únicas acumuladas, han aparecido 1.300 millones de veces.

“Para ser justos, hay casos de filas duplicadas, pero también hay una prevalencia masiva de personas que usan la misma contraseña en múltiples servicios diferentes y personas completamente diferentes que usan la misma contraseña (hay un conjunto finito de nombres de perros y años de nacimiento). allí…)”, escribió Hunt. “¡Y ahora más que nunca, el impacto de este servicio es absolutamente enorme!”

Hunt confirmó la autenticidad del conjunto de datos contactando a personas en algunos de los correos electrónicos enumerados. Confirmaron que las credenciales allí enumeradas eran, o al menos una vez lo fueron, precisas. Para mayor seguridad, Hunt también verificó una muestra de las credenciales para ver si las direcciones de correo electrónico estaban asociadas con cuentas en los sitios web afectados. Todos lo hicieron. Algunos de los usuarios de Hunt informaron que las contraseñas parecían ser válidas en 2020 o 2021. Cualquiera que sea la fecha de las contraseñas, es lógico que, a menos que se hayan actualizado, sigan siendo válidas. El mercado subterráneo correo

La publicidad del conjunto de datos decía que provenía de una infracción denominada naz.api que había sido donada anteriormente a un sitio diferente.

Hunt dijo que un gran porcentaje de las credenciales no procedían de malware ladrón como se afirma, sino de relleno de credenciales, una forma de ataque de secuestro de cuentas que recopila una gran cantidad de credenciales de cuentas robadas de infracciones anteriores. Hunt dijo que las fuentes de relleno de credenciales explicaron cómo una contraseña que usó “antes de 2011” aterrizó en el vertedero.

“Algunos de estos datos no provienen de malware y han existido durante un período de tiempo significativo”, escribió. “Mi propia dirección de correo electrónico, por ejemplo, iba acompañada de una contraseña que no se había utilizado durante más de una década y no acompañaba a un sitio web que indicara que provenía de malware”.

Hacer que las contraseñas sean seguras

Hay docenas de manuales útiles en línea que explican cómo proteger cuentas adecuadamente. Los dos ingredientes principales de la seguridad de una cuenta son: (1) elegir contraseñas seguras y (2) mantenerlas fuera de la vista de miradas indiscretas. Esto significa:

  • Crear una contraseña o frase de contraseña larga generada aleatoriamente. Estos códigos de acceso deben tener al menos 11 caracteres para las contraseñas y, para las frases de contraseña, al menos cuatro palabras elegidas al azar de un diccionario de no menos de 50.000 entradas. bitwarden, un administrador de contraseñas gratuito y de código abierto es una buena opción y una excelente manera de comenzar para las personas menos experimentadas. Una vez que se crea una contraseña, debe almacenarse en la bóveda del administrador de contraseñas.
  • Evitar que las contraseñas seguras se vean comprometidas. Esto implica no ingresar contraseñas en sitios de phishing y mantener los dispositivos libres de malware.
  • Utilice la autenticación de dos factores, preferiblemente con una clave de seguridad o una aplicación de autenticación, siempre que sea posible. Esto se aplica doblemente a la protección del administrador de contraseñas con 2FA.
  • Mejor aún, utilice claves de acceso, un nuevo estándar de autenticación en toda la industria que es inmune al robo mediante aplicaciones de robo y phishing de credenciales.

También es una buena idea crear una cuenta en Have I Been Pwned? o ingrese periódicamente direcciones de correo electrónico en el cuadro de búsqueda del sitio para verificar si aparecen en alguna infracción. Para evitar el abuso de la búsqueda, el sitio no registra las direcciones de correo electrónico ingresadas y no se cargan las contraseñas correspondientes con los datos de contraseña almacenados en el sitio. Have I Been Pwned también acepta una única dirección de correo electrónico a la vez, excepto en ciertos casos. Puede encontrar más sobre el servicio y la seguridad de su uso. aquí.

Have I Been Pwned también permite a los usuarios buscar en su base de datos contraseñas específicas. Más información sobre k-anonimato y otras medidas que Hunt utiliza para evitar la exposición de contraseñas y el abuso de su servicio es aquí.

Esta publicación se actualizó para corregir inferencias sobre cómo terminó la contraseña de Hunt en el conjunto de datos.

Leave a Reply

Your email address will not be published. Required fields are marked *