El investigador de ciberseguridad
Jeremiah Fowler descubrió
una fuga de datos de 149 millones de inicios de sesión y contraseñas, y
compartió sus hallazgos con ExpressVPN. La base de datos expuesta públicamente
no estaba protegida con contraseña ni cifrada.
Contenía 149.404.754 inicios de sesión y contraseñas únicos, lo que sumaba un
total de 96 GB de datos de credenciales sin procesar. Este no es el primer
conjunto de datos descubierto por Fowler y no hace más que poner de relieve la
amenaza global que representa el malware que roba credenciales. Cuando se
recopilan, roban o extraen datos, estos deben almacenarse en algún lugar, y un
repositorio en la nube suele ser la mejor solución. Este descubrimiento
también demuestra que ni siquiera los ciberdelincuentes son inmunes a las
filtraciones de datos.
La base de datos era de acceso público, lo que permitía a cualquiera que la
descubriera acceder potencialmente a las credenciales de millones de
personas.
Los registros expuestos incluían nombres de usuario y contraseñas recopilados
de víctimas de todo el mundo, que abarcaban una amplia gama de servicios en
línea de uso común y sobre cualquier tipo de cuenta imaginable.
- 48M – Gmail
- 4M – Yahoo
- 1.5M – Outlook
- 900k – iCloud
- 1.4M – .edu
- 17M – FaceBook
- 6.5M – Instagram
- 780k – TikTok
- 3.4M – Netflix
- 100k – OnlyFans
- 420k – Binance
Una preocupación importante era la presencia de credenciales asociadas a
dominios GOV de numerosos países. Si bien no todas las cuentas
vinculadas a gobiernos otorgan acceso a sistemas sensibles, incluso un acceso
limitado podría tener graves consecuencias según el rol y los permisos del
usuario comprometido. Las credenciales gubernamentales expuestas podrían
utilizarse para phishing selectivo, suplantación de identidad o como punto de
entrada a redes gubernamentales.
La base de datos no tenía información de propiedad asociada, así que la
reportó directamente al proveedor de alojamiento a través de su formulario de
denuncia de abuso en línea. Pasó casi un mes y múltiples intentos antes de que
finalmente se tomaran medidas, se suspendiera el alojamiento y millones de
credenciales de inicio de sesión robadas ya no estuvieran disponibles. Un
hecho inquietante es que el número de registros aumentó desde que el
descubrimiento hasta que fue restringida y dejó de estar disponible.
La base de datos parecía almacenar keylogging y malware «infostealer», un tipo de software malicioso diseñado para extraer credenciales de dispositivos infectados de forma silenciosa. Los registros también incluían la ruta «host_reversed» con el formato (com.example.user.machine). Esta estructura se utiliza para crear una forma fácilmente indexable de organizar los datos robados por víctima y origen. Invertir el nombre de host también puede ayudar a evitar conflictos de directorios o como un intento de eludir las reglas básicas de detección que buscan formatos de dominio estándar. El sistema utilizaba un hash de línea como ID de documento para garantizar un registro único por cada línea de registro. En una búsqueda limitada de estos hash e ID de documento, se identificó que eran realmente únicos y no se encontraron duplicados.
Fuente: ExpressVPN