Hoy es Viernes 18 de Enero de 2019 y llevamos todo el día viendo en las noticias que ha habido un ataque masivo... En realidad creo que se han publicado millones de contraseñas y direcciones de correo electrónico. Lo que no sabemos es cuándo se realizó el ataque y de dónde han sacado toda la información personal, de qué páginas web o servidores de correo electrónico, o tiendas, o foros, o bancos, o.... han conseguido robar los datos de sus usuarios que incluían una dirección de correo electrónico y la contraseña de acceso a ese sitio web que bien puede ser una tienda online, un foro o cualquier página que exista en internet, en la web, en la web superficial.
Antes de buscar páginas que nos cuenten la realidad de la noticia,
y en consecuencia todas las páginas web dónde usas esa misma contraseña, aunque el login sea diferente, login o nombre de usuario de acceso, la página ya "oficial" para comprobar el peligro que corres es:
Puede suceder que tu correo electrónico no aparezca en los datos que ha podido subir a su web Troy Hunt (¡Suerte!):
O puede que recibas la confirmación de lo que temías (o no temías):
Compromised data: Email addresses, Passwords
Exploit.In logo
Exploit.In (unverified): In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In". The list contained 593 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.
Compromised data: Email addresses, Passwords
...
Compromised data: Dates of birth, Email addresses, Genders, IP addresses, Names, Passwords, Physical addresses, Security questions and answers, Usernames, Website activity"
...
###################################
(Mucho por leer aún por mi parte)
Si podéis os invito a contribuir a su página web con algún donativo
para que siga ayudandonos e informando.
Antes de buscar páginas que nos cuenten la realidad de la noticia,
para comprobar
si tu contraseña esta comprometida
y en consecuencia todas las páginas web dónde usas esa misma contraseña, aunque el login sea diferente, login o nombre de usuario de acceso, la página ya "oficial" para comprobar el peligro que corres es:
La página web de seguridad informática se llama "Have i been Powerened", abreviando sería "Have I Been Pwned" y quiere decir "¿He sido jaqueado?", no es una traducción exacta pero en parte significa eso mismo.
Puede suceder que tu correo electrónico no aparezca en los datos que ha podido subir a su web Troy Hunt (¡Suerte!):
"Good news — no pwnage found!"
O puede que recibas la confirmación de lo que temías (o no temías):
"Oh no — pwned!"
Y te muestra dónde se encontró tu dirección de correo electrónico y la contraseña que tenías asociada a esa dirección de correo electrónico que usaste como login o usario para registrar tu cuenta.
En mi caso:
"Collection #1 logo
Collection #1 (unverified): In January 2019, a large collection of credential stuffing lists (combinations of email addresses and passwords used to hijack accounts on other services) was discovered being distributed on a popular hacking forum. The data contained almost 2.7 billion records including 773 million unique email addresses alongside passwords those addresses had used on other breached services. Full details on the incident and how to search the breached passwords are provided in the blog post The 773 Million Record "Collection #1" Data Breach.Compromised data: Email addresses, Passwords
Exploit.In logo
Exploit.In (unverified): In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In". The list contained 593 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.
Compromised data: Email addresses, Passwords
...
Compromised data: Dates of birth, Email addresses, Genders, IP addresses, Names, Passwords, Physical addresses, Security questions and answers, Usernames, Website activity"
...
Incluso LinkedIn, no se libra nadie, todos nuestros curriculums con datos personales y contraseña de acceso a LinkedIn:
"
LinkedIn: In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.
Compromised data: Email addresses, Passwords
"
###################################
############ ##############
###################################
Por otro lado, podemos comprobar los portales o páginas web que han sido jackeadas, a quiénes les han robado datos:
Se puede comprobar si una contraseña esta en un listado:
Pero si lo compruebo estoy escribiendo una contraseña que uso y se la estoy facilitando al menos a quién maneja el sitio web "haveibeenpwned"... Se puede descargar un listado por torrent y luego buscar nuestra contraseña en ese listado, pero tengo la impresión que abrir un archivo de ... no es texto llano, plain text... no sabría que hacer con ese archivo de gigas que bloquearía mi ordenador... :-/
Lo mejor obviamente es cambiar todas las contraseñas por una nueva nunca usada antes, por varias contraseñas nuevas diferentes para cada portal y sitio web. Que contenga alguna letra mayúscula, números y letras, algún símbolo especial como % si el sitio web lo permite, y que sea de una longitud considerable como de unos 18 caracteres, aunque digo 18 por decir un número y ya sabemos que no buscan nuestra contraseña en particular, sino que roban las contraseñas accediendo a los servidores que las almacenan... Por lo que el problema de seguridad hoy en día es más bien de las empresas y de las empresas que ofrecen servicios en internet... ¿o me equivoco?
Noticia publicada ayer Jueves 17 de Enero de 2019
En Enero han creado una lista de contraseñas "publicas", "publicadas", "robadas", que contiene
551 Millones de contraseñas
(con
773 Millones de direcciones de correo electrónico
y en total
2,7 billions
-¿mil millones o millones de millones?-
de datos publicados
).
Casi Dos Mil Setecientos Millones
de líneas de Datos.
Más de Mil Millones de
Direcciones de Correo Electrónico
combinadas con
las Contraseñas Asociadas
en el servidor dónde se encontraron.
A fecha de ayer Troy Hunt solo pudó subir hasta algo más de 700 millones de direcciones de correo electrónico que se pueden comprobar en HIBP, HaveIBeenPwned. Y más de 21 Millones de contraseñas comprobables por el momento en HIBP.
Lo que implica que si tu contraseña o dirección de correo electrónico no aparece en la página web de comprobación de Have I Been Powerened, esto no quiere decir que no la tengan en algún listado...
Lo mejor es cambiar todas las contraseñas por algo nuevo
y no usar la misma contraseña en un foro
ni en un buzón de correo electrónico
ni tienda online...
¿Cuánto tarda un ordenador o muchos ordenadores en comprobar todas esas contraseñas para acceder a una cuenta de correo electrónico?
Más de 80 GigaBytes de datos se pusieron en línea en una cuenta del servidor de descargas MEGA (creo que se refieren a https://mega.nz/). Dichos datos ya no estan disponibles en esa dirección.
Troy Hunt ha reproducido parte del listado que estab en un foro, dónde se ven nombres de dominio que han sido quebrantados:
En las noticias eh oído algo de Korea del Norte, ¿son los autores del listado?
¿o estamos ante otro ejemplo de fake news e desinformación interesada?
Y yo creía que todos estos listados estaban en la deep web, web profunda, pero resulta que estaba en un servidor de descargas como MEGA que esta en la superficie visible de la web, de internet...
¿¿¿MEGA pertenece al Gobierno Neozelándes???
2015 "is not involved in MEGA anymore":
Troy Hunt recomienda el uso de un programa gestor de contraseñas y otros datos.
Password managers are one of the few security constructs that actually make your life easier. Take logging onto a mobile app with @1Password on iOS: tap the email field, choose the account, Face ID, login button, job done! Not a single character typed 😎 pic.twitter.com/6ZKcGHfHhq— Troy Hunt (@troyhunt) 13 de enero de 2019
Recommended Password Manager?
¿Gestores de contraseñas para Windows recomendados?
¿?¿?¿?¿?¿?¿?
Si tienes un dominio puedes consultar si hay correos electrónicos de tu dominio en las listas de contraseñas fruto de brechas de seguridad que han sido "explotadas" (exploited).
###################################
En Julio 2018 comprobé que de tres direcciones de correo electrónico, dos tenían contraseñas asociadas en listas publicadas, y una fue a raíz de robar dicha información de los servidores de Taringa...
Fue por una aviso de una brecha de seguridad que fue comprometida en los servidores de Wordpress y que nos alertaban de ello mediante correo electrónico. Cambié todas las contraseñas, pero ¿y ahora?
Alguna de mis contraseñas ya estaban en estos listados desde el año ¡¡¡2007!!!
Aunque ya ni recuerdo las contraseñas que usaba por entonces :-) Es más, por entonces tenía cuentas de correo electrónico de Hotmail, y una en particular recuerdo que fue jaqueada aunque la recuperé con el paso del tiempo, y al final estan en el olvido porque ni recuerdo sus contraseñas ni me voy a molestar en intentar recuperar el acceso. Y ya es demasiado tarde para averiguar toda la información que hay en todos los correos electrónicos de esos buzones de correo electrónico...
¿Nombre y apellido? ¿Dirección real de mi domicilio? ¿Direcciones de correo electrónico de familiares y amigos? ¿Datos de cuentas bancarias? ¿Datos de alta en foros? ¿Datos de compra de programas informáticos? ¿Datos de compras online? etc...