¿Están sus datos personales entre los 620 millones de cuentas que se han puesto a la venta en la Web oscura?

620 Million Records For Sale On The Dark Web

¿Qué necesita si desea obtener algo más de 617 millones de registros de cuentas robados de 16 sitios web diferentes? Tenemos una respuesta sorprendentemente específica. Necesita una conexión a Internet, aproximadamente $ 16 mil en bitcoin y un poco menos de 43 GB de espacio de almacenamiento libre en su disco duro.

Los datos están a la venta en Dream Market, un mercado web oscuro al que puede acceder cualquier persona con un navegador Tor. La revista de informática en línea The Register fue la primera en informar sobre los detalles.

¿Qué se ofrece?

Una vez más, la respuesta es bastante específica. Aquí hay un resumen:

  • 161 millones de registros robados de una aplicación de mensajería de video llamada Dubsmash . Los registros incluyen nombres de usuario, direcciones de correo electrónico, ID de usuarios, países de residencia de los usuarios y contraseñas con hash SHA256.
  • Poco menos de 15 millones de registros robados a 500px , una comunidad de fotografía en línea. Los datos comprometidos incluyen, entre otras cosas, nombres de usuario, direcciones de correo electrónico, nombres y apellidos, fechas de nacimiento, sales hash y contraseñas que se han copiado con MD5, SHA512 o bcrypt.
  • Un poco más de 22.3 millones de registros tomados de EyeEm , otra plataforma en línea para fotógrafos. La mayoría de los registros consisten en una dirección de correo electrónico y una contraseña hash SHA1.
  • Poco menos de 20.2 millones de registros extraídos de 8fit , una aplicación de salud y bienestar . Los datos consisten en direcciones IP, nombres, direcciones de correo electrónico, tokens de autenticación de Facebook e información de las cuentas de Facebook conectadas, el país de residencia de los usuarios individuales y las contraseñas de hash bcrypt.
  • 16 millones de discos que pertenecen a Fotolog , otra red social para fotógrafos. El volcado contiene nombres, preguntas y respuestas de seguridad, direcciones de correo electrónico, contraseñas con hash SHA256 y otra información de perfil.
  • Más de 25 millones de registros robados de Animoto , una plataforma para crear videos. Los registros incluyen nombres y apellidos, direcciones de correo electrónico, países de residencia, fechas de nacimiento, sales de hash y contraseñas de hash SHA256.
  • Un poco más de 92 millones de registros robados de MyHeritage , una plataforma de genealogía en línea. Los datos incluyen las fechas en que se crearon las cuentas comprometidas, las direcciones de correo electrónico, las contraseñas con hash SHA1 y las sales hash.
  • Un poco más de 151 millones de registros robados de MyFitnessPal , una aplicación de fitness propiedad de Under Armour. Cada registro consta de una dirección IP, una ID de usuario, un nombre de usuario, una dirección de correo electrónico, una sal que se corrige para toda la tabla y una contraseña con hash SHA1.
  • 1 millón de registros robados de Artsy , un centro en línea para coleccionistas de arte. Los registros incluyen nombres, direcciones de correo electrónico e IP, ubicaciones y contraseñas con hash SHA512 con sales.
  • 11 millones de registros robados de Armor Games , un sitio web para juegos basados en navegador. Los datos constan de nombres de usuario, direcciones de correo electrónico, fechas de nacimiento, contraseñas y sales con hash SHA1, así como otros detalles del perfil.
  • 8 millones de registros tomados de Bookmate , un servicio de suscripción de libros electrónicos. La mayoría de los registros constan de varios detalles de perfil, nombres de usuario, direcciones de correo electrónico y contraseñas con hash SHA512 con sales.
  • Poco menos de 6.2 millones de registros de CoffeeMeetsBagel , un sitio web de citas. La mayoría de los registros contienen nombres, direcciones de correo electrónico, fechas de registro, contraseñas con hash SHA256 y otros detalles de la cuenta.
  • Se robaron 700 mil registros de DataCamp , una plataforma de educación en línea para personas que desean aprender sobre ciencia de datos y programación.. Los datos robados consisten en direcciones de correo electrónico, contraseñas de hash bcrypt y otros detalles del perfil.
  • 28 millones de registros obtenidos de HauteLook , una empresa de comercio electrónico que vende ropa y joyas. Los registros contienen nombres, direcciones de correo electrónico y contraseñas de hash bcrypt.
  • 41 millones de registros extraídos de ShareThis , un widget para navegadores y plataformas de blogs que facilita el intercambio de contenido. Los datos contienen nombres, nombres de usuario, direcciones de correo electrónico, fechas de nacimiento y otra información de perfil, así como contraseñas de hash hash.
  • Poco menos de 18 millones de registros robados de Whitepages , un directorio de teléfonos y direcciones en línea. Los datos constan de nombres y apellidos, direcciones de correo electrónico y contraseñas que se han copiado con SHA1 o bcrypt.

La mayoría de las bases de datos aparentemente se obtuvieron en 2018, y se pueden comprar individualmente a precios que van desde poco menos de $ 50 a alrededor de $ 2,000. El vendedor dijo que alguien ya ha comprado los datos de Dubsmash.

Nadie sabía de la mayoría de las brechas.

Hemos hablado en el pasado sobre cómo algunos incidentes de piratería no se han descubierto durante años y el tesoro de datos descrito anteriormente demuestra que el punto es bastante bueno. De todos los proveedores que fueron violados, solo MyFitnessPal , MyHeritage y Animoto revelaron los datos filtrados el año pasado. El resto no sabía acerca de los incidentes o los mantenía deliberadamente en secreto.

Ahora, todo está saliendo a la luz. Poco después de la publicación del informe de The Register el lunes, 500px comenzó a restablecer las contraseñas de los usuarios y, desde entonces, EyeEm y DataCamp también comenzaron a notificar a los propietarios de las cuentas afectadas. Cuando fueron contactados por The Register, algunos de los proveedores dijeron que necesitaban más tiempo para investigar antes de poder hacer un anuncio público.

El sueño de un embutidor de credenciales.

Con suerte, todas las partes afectadas harán lo que tienen que hacer más temprano que tarde porque no hay dudas en la mente de nadie de que los datos sean válidos y puedan ser utilizados. Los nombres de usuario y las contraseñas son perfectos para los ataques de relleno de credenciales en parte porque hay muchos de ellos y en parte porque son relativamente nuevos. Las colecciones filtradas que recientemente hicieron bastantes titulares atrajeron mucha atención debido a la gran cantidad de datos que contenían. Debido a que los nombres de usuario y las contraseñas en esos volcados de datos fueron robados hace años, sin embargo, muchos de ellos son inútiles. Con estas violaciones más recientes, las posibilidades de extraer credenciales válidas son mucho más importantes.

Esto se debe en parte a los hábitos de almacenamiento de contraseñas de los proveedores. Como puede ver, ninguna de ellas almacenó contraseñas en texto simple, lo que es bueno. Muchos usaron algoritmos de hash débiles, sin embargo, que no son tan buenos.

MD5 y SHA1 se pueden descifrar con relativa facilidad, e incluso algoritmos más complejos como SHA256 pueden resultar vulnerables, especialmente si la implementación no es perfecta o si la contraseña es débil. En teoría, las personas cuyas contraseñas fueron procesadas con bcrypt deberían ser seguras, pero incluso los proveedores que eligieron el algoritmo correcto están instando a los usuarios a cambiar sus contraseñas.

El precio de los datos personales vendidos en la web oscura.

A veces, se puede encontrar una gran cantidad de información personal en un foro público de Internet al que se puede acceder a través de Google. Como puede ver, en otros casos, los datos se venden en la web oscura.

Sin embargo, no es exactamente caro. Algunos de los registros en estas bases de datos contienen bastante información personal y, sin embargo, el precio promedio de un solo registro es de $ 0.00002. Piense en esto la próxima vez que se registre para un nuevo servicio.

February 19, 2019

Deja una respuesta