En los últimos meses, parece que los usuarios no podemos estar tranquilos en lo que respecta a la seguridad de nuestros credenciales en muchos de los servicios más populares de Internet. Tras la mayor brecha pública de la historia en Collection #1, con 773 millones de cuentas y 23 millones de contraseñas expuestas, llegaron sucesivas colecciones, en las que se han recogido hasta 3.500 millones de credenciales.
Hoy la noticia que trae The Register tampoco es más alentadora, y es que un vendedor de datos presume de comercializar en la Dark Web (Dream Market) 617 millones de cuentas de 16 sitios web hackeados por menos de 20.000 dólares en Bitcoin.
Las plataformas y servicios afectados son Dubmash, con 162 millones de cuentas expuestas, MyFitnessPal, con 151 millones, MyHeritage, con 92 millones, ShareThis, con 41 millones, HauteLook, con 28 millones, Animoto, con 25 millones, EyeEm, con 22 millones, 8fit, con 20 millones, Whitepages, con 18 millones, Fotolog, con 16 millones, 500px, con 15 millones, Armor Games, con 11 millones, BookMate, con 8 millones, CoffeeMeetsBagel, con 6 millones, Artsy, con un millón, y DataCamp con 700.000.
Otra recopilación de hackeos de 2018 o anteriores que son aprovechados más tarde
The Register ha recibido algunas muestras de cuentas afectadas presentes en las bases de datos, y los datos que han analizado les parecen auténticos, con nombres de usuarios, direcciones de correo electrónico y contraseñas, por el momento, hasheadas. También puede haber información sensible extra como ubicación o tokens en redes sociales, aunque en principio no se menciona nada relacionado con cuentas bancarias. Eso sí, algunas, como las de 500px, utilizando MD5, que es fácilmente crackeable para luego emplear las contraseñas en cuentas de Facebook o Gmail que compartan credenciales.
Algunos sitios como MyFitnessPal, MyHeritage o Animoto habían lanzado avisos a lo largo de 2018 de haber sufrido hacks, y parece que los datos obtenidos en esas brechas se estarían comercializando aquí. Lo mismo con 500px y EyeEm. El hacker, que creen que no es estadounidense, ha confirmado haber vendido 162 millones de cuentas de Dubmash, por un valor de 1.976 dólares. Se trata de unos datos de diciembre de 2018 con un tamaño de 11 GB, e incluye el número de usuario, nombre de usuario, correo electrónico, contraseñas hasheadas con SHA-256, idioma, país, y en algunos casos, nombres y apellidos.
Algunos servicios han confirmado desde el principio haber sufrido un hackeo, mientras que otros van confirmando más lentamente. El o la hacker ha contado a The Register que el hecho de poner a la venta toda esta información responde a "hacer la vida más fácil a los hackers", y también para que los usuarios tomen medidas de seguridad como establecer autenticación de doble factor.
Al ser los hackeos recientes y aún no haber sido reconocidos, muchas de las credenciales es posible que aún no formen parte de la base de datos de Have I Been Pwned, aunque nunca está de más comprobar. Estés o no afectado, recuerda utilizar contraseñas únicas y seguras. Además, es recomendable utilizar un gestor de contraseñas y activar la autenticación en dos pasos.
Ver 2 comentarios