viernes, febrero 27, 2015

Aquí tienes millones de usuarios y contraseñas para jugar

Hace poco más de dos semanas Mark Burnett, investigador de seguridad, publicó un fichero con 10 Millones de usuarios y contraseñas que puedes descargar desde este Torrent. El fichero en sí no es más que la recolección de usuarios y contraseñas, anonimizados lo más posible, que han sido recolectados de Internet utilizando diferentes técnicas, y que se ponen a disposición de investigadores que quieran utilizarlos en sus estudios.

Figura 1: Aquí tienes millones de usuarios y contraseñas para "jugar"

Cuando digo que el investigador los ha "anonimizado" lo más posible, es porque ha quitado de ellos el dominio de la empresa de referencia para que no se pueda saber, al menos de forma directa, dónde eran válidas esas credenciales. Sí que es cierto que si se busca por algunos dominios conocidos sale información que hace presuponer dónde podrían haberse estado utilizando dichas credenciales.

Figura 2: Grep Facebook sobre el fichero de usuarios y passwords

Las técnicas que utiliza el investigador para sacar las credenciales las ha explicado en otro post, y no dejan de ser más que fuentes públicas conocidas como las que utiliza por ejemplo HaveIBeenPowned o las que cualquiera puede encontrar haciendo Hacking con Buscadores, como se explica en este artículo titulado "Buscar las guaridas de los ladrones de Identidad". Las fuentes y servicios existentes hoy en día para localizar usuarios y contraseñas son muchas, y puedes monitorizar lugares habituales donde se publican como Pastebin o suscribirte a servicios que ya te filtran las publicaciones en tiempo real como LeakedIN en formato RSS o Dump Monitor en Twitter.

Figura 3: Dump Monitor en Twitter

Si quieres tener un buen diccionario de usuarios o passwords para hacer ataques de fuerza bruta, estudios o para probar las passwords suprayectivas de un determinado sitio, este fichero está perfecto. Yo por pura curiosidad maligna he buscado qué passwords ponían los usuarios "chema" dumpeados en esta base de datos. Las hay muy curiosas.

Figura 4: Passwords de cuentas "chema*"

Las passwords ya han dado mucho de sí y como os dije en el pasado, tenemos que acabar primero con las passwords complejas en los servicios online, para luego terminar de una vez con la identificación basada en conocer una cadena de caracteres, que si no esto va a seguir siendo el paraiso del robo de la identidad. Por ahora, pon un segundo factor de autenticación a todas las que puedas.

Saludos Malignos!

Actualización: Si utilizas algún servicio como CheckNames, podrías llegar a saber de quiénes son esas cuentas

Figura 5: CheckNames te dice dónde existe un usuario

4 comentarios:

  1. Hay que usar Latch!!! ;-)

    ResponderEliminar
  2. ...

    jesus -----> judas666

    ...

    ^^

    ResponderEliminar
  3. interesante la nueva forma de buscar y crear diccionarios.

    ResponderEliminar
  4. Cuando llegue a casa lo bajare...

    chema4451 12345678 oops! sin descartar; chema69 chema >.<

    Saludos!

    ResponderEliminar