«2 mil millones de direcciones de correo electrónico» puede parecer excesivo, pero en realidad no lo es. Este número se aproxima a la cantidad exacta de 1.957.476.021 direcciones únicas. Además, se registran 1.300 millones de contraseñas únicas, de las cuales 625 millones nunca habían sido reveladas. Este conjunto de datos es el más amplio
procesado por Troy Hunt y por
HaveIBeenPwned, con una gran diferencia.
La información sobre el registro de programas maliciosos se reúne a través de malware que opera en máquinas infectadas (info-stealers). Por otro lado, las listas de relleno de credenciales (credential stuffing) suelen provenir de filtraciones anteriores donde se exponen correos electrónicos y contraseñas. Estos datos se recopilan, venden, redistribuyen y finalmente se utilizan para acceder a las cuentas de las víctimas.
No solo se accede a las cuentas de las que se filtraron inicialmente. Al reutilizar contraseñas de manera repetida, los datos de una filtración suelen ser útiles en sitios web completamente distintos. Por ejemplo, una filtración en un foro sobre gatos puede exponer datos que pueden ser utilizados para acceder a cuentas de compras, redes sociales o incluso al correo electrónico de la víctima. En este contexto, las credenciales robadas se convierten en una llave maestra.
Verificación de datos
Troy Hunt verificó los datos utilizando su propio correo electrónico, una dirección antigua de los años 90 que ya había sido expuesta en filtraciones anteriores. Además, encontró una contraseña asociada que definitivamente había usado hace mucho tiempo, y era tan poco segura como se podría esperar de aquella época.
Sin embargo, ninguna de las otras contraseñas vinculadas a su dirección le resultaba familiar. En contacto con algunos suscriptores de HIBP que nunca habían estado involucrados en filtraciones de datos, las respuestas fueron variadas. En resumen, había contraseñas reales, otras creadas y nunca utilizadas, y algunas que se habían usado hace años en cuentas activas.
Las nuevas contraseñas fueron cargadas en el servicio Pwned Passwords. Al hacerlo, no hay ninguna asociación entre la contraseña y la dirección de correo electrónico vinculada. Usar este servicio es sencillo, anónimo y, dependiendo de tus conocimientos técnicos, puedes hacerlo de las siguientes maneras:
- Visita la página de búsqueda de Pwned Passwords. Las contraseñas están protegidas mediante un modelo de anonimato, así que nunca las vemos (se procesan en tu propio navegador). Si tienes dudas, verifica las que te parezcan sospechosas.
- Utiliza la API de k-anonymity. Esta API es la que alimenta la página anterior, y si tienes habilidades de programación, es una forma segura de garantizar tu anonimato.
- Emplea Watchtower de 1Password. Este gestor de contraseñas incluye un verificador integrado que utiliza la API mencionada y puede revisar todas las contraseñas de tu bóveda.
Aspectos técnicos interesantes de esta cantidad de datos
Este conjunto de datos es casi tres veces mayor que la mayor filtración anterior. Manejar las complejidades de los índices de SQL Server para optimizar inserciones y consultas no es precisamente sencillo, y se tuvo que aprovechar la nube al máximo, utilizando hasta 80 núcleos durante casi dos semanas.
Notificar a los suscriptores se convirtió en otro desafío. Enviar 2,9 millones de correos electrónicos presenta complicaciones, ya que hay que evitar ser incluido en listas negras por reputación y evitar las limitaciones que pueden imponer los servidores receptores.
Fuente:
TroyHunt
Con Información de blog.segu-info.com.ar