La Universidad de Michigan culpa a las filtraciones de contraseñas por violaciones de datos de terceros

University of Michigan Password Leak

El viernes, los estudiantes de la Universidad de Michigan (UM) fueron alertados sobre una lista de credenciales de inicio de sesión que flotaba. El archivo se distribuyó libremente y, de hecho, contenía decenas de miles de pares de direcciones de correo electrónico @umich.edu y contraseñas de texto sin formato. Algunos de los estudiantes echaron un vistazo a la lista y se asustaron al descubrir que sus datos de inicio de sesión eran válidos. Como era de esperar, inicialmente echaron la culpa a la puerta de la UM, pero luego resultó que la institución no era responsable de la fuga de ninguna manera. De hecho, resultó que fueron los estudiantes quienes pudieron haber hecho mucho más para protegerse.

Los datos de inicio de sesión se filtraron durante infracciones no relacionadas

Poco después de que las listas se hicieron públicas, la Universidad de Michigan emitió un aviso oficial, explicando que las direcciones de correo electrónico y las contraseñas filtradas provenían de violaciones de datos de terceros. La universidad aseguró a sus estudiantes que sus sistemas no se han visto comprometidos y anunció que restablecerá las contraseñas si ve un peligro real de acceso no autorizado.

Después de aclarar lo que había sucedido exactamente, el aviso dio a los estudiantes algunos consejos sobre cómo aumentar su seguridad general en línea. Hay que decir que si los estudiantes hubieran prestado atención a estos consejos antes de que se publicara la lista de contraseñas, el aviso hubiera sido completamente innecesario.

Cómo los estudiantes de la UM se ponen en peligro

La lista de nombres de usuario y contraseñas pone a los estudiantes de UM en un riesgo muy real de ataques de relleno de credenciales. Para aquellos de ustedes que no saben, en un ataque de relleno de credenciales, los piratas informáticos toman una gran lista de nombres de usuario y contraseñas robados de un servicio y los prueban contra varios otros. Esperan que muchas personas usen las mismas credenciales en muchos sitios web diferentes, y el hecho de que el relleno de credenciales se considere ampliamente como la mejor manera de comprometer una gran cantidad de cuentas con un mínimo esfuerzo muestra que su apuesta generalmente vale la pena.

Es de conocimiento común que la única forma de detener los ataques de relleno de credenciales es detener la reutilización de contraseñas, pero está claro que esto es más fácil decirlo que hacerlo. Es por eso que existe la autenticación de dos factores.

La Universidad de Michigan ha pensado en la seguridad de sus estudiantes y ha implementado un sistema que requiere que el usuario responda una llamada, ingrese un código o toque una notificación push para iniciar sesión con éxito. Desafortunadamente, no está habilitado de forma predeterminada, y es difícil decir cuántos de los estudiantes afectados lo están usando.

Probablemente también deberíamos abordar la cuestión de dónde provienen los datos. En su aviso, la Universidad de Michigan mencionó tres proveedores de servicios en línea que se han violado en el pasado y podrían haber actuado como la fuente de las direcciones de correo electrónico y contraseñas filtradas: Chegg, LinkedIn y Zynga. Debemos señalar que nadie ha confirmado oficialmente de dónde provienen los datos robados, pero iremos con estos tres proveedores para ilustrar el punto de cuán importante es pensar qué dirección de correo electrónico está utilizando cuando se registra Una cuenta en línea.

Chegg ofrece servicios en el ámbito de la educación, y puede ver cómo un estudiante puede usar su dirección de correo electrónico de la Universidad de Michigan para registrarse en una cuenta de Chegg. LinkedIn es la red social profesional más popular del mundo, y también puede justificar asociar un perfil allí con una dirección @umich.edu.

Zynga, por otro lado, es un desarrollador de juegos en línea. Le pide que se registre para poder cultivar vegetales virtuales o resolver crucigramas en línea. Usar una dirección de correo electrónico de la universidad para crear este tipo de cuenta simplemente no parece ser lo correcto, y como puede ver, también puede poner en riesgo su seguridad en línea.

La necesidad de hacer malabarismos con tantas cuentas en línea ha llevado a algunas personas a creer que hemos perdido completamente el control sobre nuestros datos. Esto es cierto solo hasta cierto punto. Cuando necesitamos comunicarnos con personas que están en condiciones de dar forma a nuestro futuro, necesitamos usar direcciones de correo electrónico oficiales. Por otro lado, cuando esperamos actualizaciones de un juego móvil que desperdicia tiempo, probablemente sea mejor usar un correo electrónico desechable que no nos importa demasiado. Después de todo, no debemos olvidar que tanto el nombre de usuario como la contraseña deben ser idénticos para que funcione un ataque de relleno de credenciales.

En Duran
July 7, 2020
News
Spanish
July 7, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.