LiveJournal filtró 26 millones de discos en 2014, y ahora se venden en la Dark Web

Incluso los expertos en seguridad pueden estar equivocados a veces. Como algunos de ustedes sabrán, durante los últimos años, han estado argumentando que no tiene sentido cambiar su contraseña a menos que estén seguros de que la han robado. El argumento es que si los ciberdelincuentes toman sus datos de inicio de sesión, los usarán de inmediato, lo que significa que es poco probable que las políticas de caducidad de contraseña tengan un efecto en la seguridad de su cuenta. Hay bastante lógica en todo esto, pero una violación de datos en una plataforma de blogs llamada LiveJournal muestra que no siempre funciona así.

Hay muchas cosas que no sabemos sobre la violación de LiveJournal. Sin embargo, podemos decir que sucedió, y sucedió hace un tiempo. Troy Hunt, el experto en seguridad australiano responsable del servicio de notificación de violación de datos HaveIBeenPwned, escuchó por primera vez sobre el ataque en 2018, pero no fue hasta principios de este mes que una fuente le envió la base de datos. Los datos son bastante antiguos ahora, pero Hunt confirmó que son reales y los cargó en HaveIBeenPwned, lo que significa que si alguna vez ha utilizado LiveJournal, puede verificar si sus credenciales se han visto comprometidas.

La base de datos LiveJournal ha viajado bastante

ZDNet fue el primer sitio web en cubrir la violación, y aunque el informe fue bastante exhaustivo, hay un detalle crucial que aún no está claro. Según él, los datos fueron robados en 2014, pero aparentemente a Troy Hunt se le dijo que se remonta a 2017. Una cosa es segura: los datos han estado en un gran recorrido.

Las fuentes de ZDNet dijeron que poco después de la violación, la base de datos fue objeto de comercio privado entre cibercriminales. Más tarde, aparentemente llegó a un público más amplio, y la evidencia sugiere que se usó en estafas similares a la sextortion.

El año pasado, We Leak Info, un servicio ya difunto que vendía el acceso a datos robados, agregó la base de datos LiveJournal a su cartera y continuó ofreciéndola a sus clientes hasta el momento en que el FBI confiscó el dominio.

A principios de este mes, un usuario en uno de los mercados subterráneos publicó un anuncio para la base de datos y solicitó $ 35, pero más tarde, se compartió de forma gratuita en un foro de piratería. Curiosamente, los piratas informáticos afirman que hay 33 millones de registros en la base de datos, pero según Troy Hunt, el número de cuentas afectadas se sitúa en poco más de 26 millones.

LiveJournal no admitirá sus errores

Los registros contienen nombres de usuario, direcciones de correo electrónico y contraseñas de texto sin formato, lo que demuestra que en el momento del hackeo, LiveJournal no estaba almacenando las contraseñas de sus usuarios correctamente. La plataforma de blogs los guardó en texto sin formato o utilizó un algoritmo de cifrado / hashing débil que ha sido descifrado por los ciberdelincuentes. Desafortunadamente, esto está lejos del único error de LiveJournal.

Aunque se ha hablado de la violación de datos durante años, LiveJournal se niega firmemente a admitir que sus sistemas se vieron comprometidos. Incluso ahora, cuando la descarga de datos podría estar a solo un par de clics de distancia, los propietarios de la plataforma no dirán cómo ocurrió el robo ni cuándo. Este tipo de comportamiento es completamente inexcusable, y sus consecuencias ahora son visibles.

Una serie reciente de publicaciones publicadas por Dreamwidth muestra que el número de ataques de relleno de credenciales ha aumentado dramáticamente en los últimos meses. Dreamwidth comenzó como una bifurcación de código de LiveJournal y, además de gran parte del código fuente, también comparte una gran parte de la base de usuarios con el servicio comprometido. Ayer, el desarrollador de Dreamwidth dijo que, según ellos, el aumento se debe a la base de datos LiveJournal que ahora flota libremente.

Este incidente muestra que una vez que se filtran los datos, no hay vuelta atrás. Incluso años después, la información de inicio de sesión comprometida puede ser un arma poderosa.