773 millones de registros expuestos en un nuevo masivo data breach

Alguien compiló una colección masiva de direcciones de correo electrónico y contraseñas, aparentemente de más de 2000 bases de datos pirateadas, y puso a disposición la descarga gratuita a través del servicio de almacenamiento en la nube MEGA. El conjunto de datos llegó en forma de más de 12,000 archivos separados y más de 87GB […]

Alguien compiló una colección masiva de direcciones de correo electrónico y contraseñas, aparentemente de más de 2000 bases de datos pirateadas, y puso a disposición la descarga gratuita a través del servicio de almacenamiento en la nube MEGA.

El conjunto de datos llegó en forma de más de 12,000 archivos separados y más de 87GB de datos y terminó en un popular foro de piratería después de que se eliminara de MEGA, y de ahí, al mundo, y como se señaló anteriormente, los datos parecen provenir de muchas fuentes diferentes. El conjunto sólo contiene contraseñas de texto sin formato, lo que lo hace ideal para suplantar identidades en línea. El autor de este set de datos no ha sido identificado aún. 

Troy Hunt, el creador de Have I Been Pwned, investigó los detalles del leak y encontró que contiene:

– 2.692.818.238 filas
– 1.160.253.228 combinaciones únicas de direcciones de correo electrónico y contraseñas
– 772.904.991 direcciones de correo únicas
– 21.222.975 contraseñas únicas.

Hunt ha agregado las más de 772 mil direcciones de correo electrónico en Have I Been Pwned, para que los usuarios puedan verificar si las encuentra entre ellas.

“El relleno de credenciales es la inyección automatizada de pares de nombres de usuario/contraseña obtenidos en masa para obtener acceso fraudulento a las cuentas de usuario. En otras palabras, las personas toman listas como éstas que contienen nuestras direcciones de correo electrónico y contraseñas y luego intentan ver dónde más trabajan «, explica Hunt.

“El éxito de este enfoque se basa en el hecho de que las personas reutilizan las mismas credenciales en múltiples servicios. Tal vez sus datos personales estén en esta lista porque se registró en un foro hace muchos años que olvidó hace tiempo, pero debido a que posteriormente fueron hackeados y tú has estado usando la misma contraseña en todos lados, tienes un serio problema.»

Qué hacer?

A nivel de usuario, debemos comprender el riesgo al que nos exponemos al reutilizar la misma contraseña en diferentes servicios o sitios web. Si lo hacemos, cada vez que ocurren estos data breaches, los cibercriminales obtienen una combinación de usuario/contraseña que pueden utilizar para el servicio obtenido. Pero si reutilizamos esa clave, pueden acceder a todos los servicios en los cuales hemos utilizado la misma contraseña. Hoy en día, estos ataques se automatizan. Es el relleno de contraseñas o password stuffing (o credential stuffing, también) del que hablaba Troy Hunt, haciendo muy fácil hacerse de todas las cuentas de la víctima.

Hunt y otros expertos en seguridad aconsejan a los usuarios que comiencen a usar administradores de contraseñas, lo que hace que sea fácil «recordar» una gran cantidad de contraseñas sólidas y únicas.

Jake Moore, experto en seguridad cibernética de ESET UK, señala que nunca ha habido un mejor momento para cambiar su contraseña.

“Las aplicaciones de administración de contraseñas ahora son ampliamente aceptadas y son mucho más fáciles de integrar en otras plataformas que antes. Además, te ayudan a generar una contraseña completamente aleatoria para todos tus diferentes sitios y aplicaciones. Y si está cuestionando la seguridad de un administrador de contraseñas, éstos son increíblemente más seguros de usar que reutilizar las mismas tres contraseñas para todos sus sitios «, comentó Jake a Help Net Security.

Habilitar la autenticación de dos factores siempre que sea posible, o, al menos, para las cuentas más importantes, también es una buena idea, pues, a pesar de que esta tecnología ya ha sido hackeada en numerosas ocasiones, como ya hemos informado en Nivel4 no una, sino dos veces, añade una capa de dificultad a ataques automatizados.

Rami Essaid, cofundador de la compañía de mitigación de bots Distil Networks, también señaló que las fugas masivas de datos como la Colección #1 crean enormes picos en el tráfico de bots en las pantallas de inicio de sesión de los sitios web, y que cualquier negocio en línea que tenga usuario/contraseña en algún servicio web esté en riesgo de convertirse en el próximo titular de la brecha.

“Los volcados de contraseñas crean un efecto dominó para las organizaciones, que gastan tiempo y recursos valiosos en el control de daños. El aumento masivo en los inicios de sesión fallidos, luego, el acceso a la cuenta de otra persona, antes de que el pirata informático cambie la contraseña, luego el bloqueo de la cuenta para el usuario real, luego las llamadas a servicio al cliente del cliente que llama para recuperar el acceso a su cuenta. Todo porque un nombre de usuario y contraseña fueron robados de un sitio web diferente «, explicó.»

«Si bien es importante que los usuarios web individuales tengan inicios de sesión seguros y fuertes, la responsabilidad de las empresas es detectar y bloquear el tráfico malicioso de bots antes de que se produzcan pirateados de contraseña a gran escala”.

Tan sólo ayer informamos de vulnerabilidades en Amadeus y aerolíneas que trabajan con ese servicio, que involucran a un 44% del total de pasajeros aéreos del mundo, y una de las grandes fallas que habilitaba el desarrollo de un hack que pudo haber sido desastroso, era el no tener protección contra solicitudes automatizadas provenientes desde bots. A ponerse las pilas, sysadmins!