viernes, marzo 21, 2014

Más de 161 millones de identidades pwneadas en Internet

En muchas conferencias de las que he dado últimamente he hablado del sitio Have I been Pwned? que se dedica a recoger bases de datos de identidades expuestas en Internet tras el hackeo de sitios de renombre. En este sitio se encuentra, por ejemplo, la base de datos de Adobe con 152 millones de identidades, que es la más llamativa, pero también hay otras como una de Vodafone con algo más de 52 mil cuentas expuestas, la de Snapchat con más de 4 millones de identidades, la base de datos de Forrester y Gawker con algo más de 1 millón de cuentas cada una, etcétera.

Figura 1: Bases de Datos consolidadas en Have I been Pwned?

Al final, la lista alcanza los más de 161 millones de identidades en Internet, por lo que si alguien ha tenido la brillante idea de utilizar una cuenta de otro sitio para registrarse en los servicios hackeados y usar una contraseña repetida, entonces sus cuentas están en serio riesgo.

Figura 2: Cómo conquistar el mundo gracias al password reuse por XKCD

El servicio en cuestión de Have I been Pwned? permite realizar búsquedas de cuentas de correo electrónico en esa base de datos, para ver si alguna cuenta de correo electrónico ha aparecido en alguna de ellas. Yo he buscado por ejemplo admin@forbes.com y puedes ver que aparece expuesta en el incidente de hackeo de Forbes, lo que es hasta normal.

Figura 3: La identidad de admin@forbes.com aparece en la base de datos de Forbes

Lo que no es tan normal es que ma haya salido como resultado que la cuenta admin@sony.com no aparezca en la base de datos del hackeo Sony y sí por el contrario en la base de datos del hackeo de Adobe, como es el caso.

Figura 4: La cuenta de correo de admin@sony.com apareció en la base de datos de Adobe

Que el administrador de Sony ha utilizado su cuenta de correo para registrarse en Adobe es una mala idea, pero esperemos que al menos no haga reutilización de passwords ni tenga algún método de construcción de contraseñas similares al de Dan Kaminsky en su famoso pwnage... o que al menos use Latch }:)

Saludos Malignos!

10 comentarios:

53n553y dijo...

Conocia la pagina, la cual me parece una idea cojonuda. Lo unico que me acojona es: ¿No podrian recopilar todos los email´s introducidos para saber que cuentas son las usadas por muchos users para hacer spam y vender como bbdd de emails?
Un saludo chema ;)

Anónimo dijo...

Tengo una cuenta pwneada por lo que paso con Adobe :( Mi pregunta es: ¿Puedo ver la contraseña asociada a mi cuenta? Es que quiero ver que contraseña tenia cuando ocurrió eso para ver que datos han podido sacar de mi.

Anónimo dijo...

Buenas,
He comprobado una cuenta de Hotmail que en su día me la cancelaron y no supe a que se debia y resulta que fue pwneada en la pagina de Adobe.

Muchas Gracias por la Info!
Salu2 Dr.Maligno!

Anónimo dijo...

Una pregunta/duda...
Es posible que una vez pwneadas dichas cuentas en Adobe, estos se pusieran en contacto con Hotmail y como medida de seguridad decidieran proceder a la cancelación inmediata de dichas cuentas sin el consentimiento del propietario para evitar así daños mayores en y con ello tener que solicitar a Hotmail la recuperación de la cuenta pwneada?

Si esto es así, a mi no se me aviso en ningun momento de que esto ocurrió en Adobe y si es que fue por ese el motivo la cancelación :(

PD: Pues menos mal que existe el lado del mal¡
sino... ni me entero¡ ...:::Y_(O.o)_Y

twister dijo...

Mi pregunta es y si el dueño de ese sitio lo utiliza para recolectar la informacion de todos aquellos que llegan postear su mail ?ideas mias :S

Alfonso J. Ramos dijo...
Este comentario ha sido eliminado por el autor.
Alfonso J. Ramos dijo...

El Cómic mostrado es Password Reuse http://xkcd.com/792/ by Randall Munroe y puede ser distribuido gratuitamente bajo CC-BY-NC 2.5 - esa licencia prohíbe la venta del Cómic y exige el reconocimiento del autor original que MALIGNO olvidó colocar.

Chema Alonso dijo...

@Alfonso, el cómic está publicado en el post de mi blog enlazado donde se expresa que es de XKCD. Esta es sola una porción.

Saludos!

lau dijo...

Suicidio: admin@adobe.com pwned ;)

lau dijo...

admin@yahoo.com, admin@google.com,... Ay, ay, etc.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares