Getty Images Casi 71 millones de credenciales únicas robadas para iniciar sesión en sitios web como Facebook, Roblox, eBay y Yahoo han estado circulando en Internet durante al menos cuatro meses, dijo un investigador el miércoles. Troy Hunt, operador de Have I Been Pwned? El servicio de notificación de violaciones dijo que la enorme cantidad de datos se publicó en un conocido mercado clandestino que negocia las ventas de credenciales comprometidas. Hunt dijo que a menudo presta poca atención a volcados como estos porque simplemente compilan y reempaquetan contraseñas publicadas previamente y tomadas en campañas anteriores. Ampliar / Publicación que aparece en un sitio de violación que anuncia la disponibilidad de datos de contraseña de naz.api. No es el típico volcado de contraseñas. Algunas cosas evidentes impidieron que Hunt descartara esta, específicamente el contenido que indica que casi 25 millones de contraseñas nunca se habían filtrado antes: 319 archivos con un total de 104 GB 70.840.771 direcciones de correo electrónico únicas 427.308 suscriptores individuales de HIBP ya afectaron al 65,03 por ciento de las direcciones en HIBP (basado en un conjunto de muestras aleatorias de 1.000) “Ese último número fue el verdadero factor decisivo”, escribió Hunt. “Cuando un tercio de las direcciones de correo electrónico nunca antes se habían visto, eso es estadísticamente significativo. Esta no es solo la colección habitual de listas reutilizadas envueltas con un lazo nuevo y presentadas como la próxima gran novedad; es un volumen significativo de datos nuevos. Cuando miras la publicación del foro anterior con los datos adjuntos, la razón queda clara: son ‘registros ladrones’ o, en otras palabras, malware que ha obtenido credenciales de máquinas comprometidas». Publicidad Una imagen redactada que Hunt publicó que muestra una pequeña muestra de las credenciales expuestas indicó que las credenciales de cuentas para una variedad de sitios fueron barridas. Los sitios incluían Facebook, Roblox, Coinbase, Yammer y Yahoo. De acuerdo con la afirmación de que las credenciales fueron recopiladas por un “ladrón” (malware que se ejecuta en el dispositivo de la víctima y carga todos los nombres de usuario y contraseñas ingresados ​​en una página de inicio de sesión), las contraseñas aparecen en texto sin formato. Las credenciales de cuenta tomadas en violaciones de sitios web casi siempre están cifradas criptográficamente. (Un comentario triste: la mayoría de las credenciales expuestas son débiles y fácilmente caerían en un simple ataque de diccionario de contraseñas). Ampliar / Captura de pantalla que muestra una muestra de 20 pares de credenciales, con los nombres de usuario redactados. ¿Me han engañado? Los datos recopilados por Have I Been Pwned indican que esta debilidad de contraseña está muy extendida. De los 100 millones de contraseñas únicas acumuladas, han aparecido 1.300 millones de veces. «Para ser justos, hay casos de filas duplicadas, pero también hay una prevalencia masiva de personas que usan la misma contraseña en múltiples servicios diferentes y personas completamente diferentes que usan la misma contraseña (hay un conjunto finito de nombres de perros y años de nacimiento). allí…)”, escribió Hunt. “¡Y ahora más que nunca, el impacto de este servicio es absolutamente enorme!” Hunt confirmó la autenticidad del conjunto de datos contactando a personas en algunos de los correos electrónicos enumerados. Confirmaron que las credenciales allí enumeradas eran, o al menos una vez lo fueron, precisas. Para mayor seguridad, Hunt también verificó una muestra de las credenciales para ver si las direcciones de correo electrónico estaban asociadas con cuentas en los sitios web afectados. Todos lo hicieron. Algunos de los usuarios de Hunt informaron que las contraseñas parecían ser válidas a partir de 2020 o 2021. Hunt dijo que cuando buscó en el conjunto de datos, apareció una contraseña propia que databa de 2011. Cualquiera que sea la fecha de las contraseñas, es lógico que, a menos que se hayan actualizado, sigan siendo válidas. La contraseña de Hunt que aparece en la lista sugiere que se instaló un ladrón de contraseñas en uno de sus dispositivos. Hunt no dijo mucho, por lo que la confirmación o los detalles no estuvieron disponibles de inmediato. La publicación del mercado clandestino que anunciaba el conjunto de datos decía que procedía de una infracción denominada naz.api que había sido donada anteriormente a un sitio diferente. Hay docenas de manuales útiles en línea que explican cómo proteger cuentas adecuadamente. Los dos ingredientes principales de la seguridad de una cuenta son: (1) elegir contraseñas seguras y (2) mantenerlas fuera de la vista de miradas indiscretas. Esto significa: Generar una contraseña o frase de contraseña larga generada aleatoriamente. Estos códigos de acceso deben tener al menos 11 caracteres para las contraseñas y, para las frases de contraseña, al menos cuatro palabras elegidas al azar de un diccionario de no menos de 50.000 entradas. Bitwarden, un administrador de contraseñas gratuito y de código abierto, es una buena opción y una excelente manera de comenzar para las personas menos experimentadas. Evitar que las contraseñas seguras se vean comprometidas. Esto implica no ingresar contraseñas en sitios de phishing y mantener los dispositivos libres de malware. Utilice la autenticación de dos factores, preferiblemente con una clave de seguridad o una aplicación de autenticación, siempre que sea posible. Mejor aún, utilice claves de acceso, un nuevo estándar de autenticación del sector que es inmune al robo mediante aplicaciones de robo y phishing de credenciales. También es una buena idea crear una cuenta en Have I Been Pwned? o ingrese periódicamente direcciones de correo electrónico en el cuadro de búsqueda del sitio para verificar si aparecen en alguna infracción. Para evitar el abuso de la búsqueda, el sitio no registra las direcciones de correo electrónico ingresadas y no se cargan las contraseñas correspondientes con los datos de contraseña almacenados en el sitio. Have I Been Pwned también acepta una única dirección de correo electrónico a la vez, excepto en ciertos casos. Puede encontrar más información sobre el servicio y la seguridad de su uso aquí. Have I Been Pwned también permite a los usuarios buscar en su base de datos contraseñas específicas. Más información sobre k-anonimato y otras medidas que Hunt utiliza para evitar la exposición de contraseñas y el abuso de su servicio se encuentran aquí.

Source link