«2 mil millones de direcciones de correo electrónico» parece exagerado,
pero no lo es. Se redondea a partir del número más preciso de
1.957.476.021 direcciones de correo electrónico únicas, pero aparte de
eso, es exactamente lo que parece. Ah, y
hay 1.300 millones de contraseñas únicas, 625 millones de las cuales nunca
habían aparecido. Es el conjunto de datos más extenso
procesado por Troy Hunt y por
HaveIBeenPwn, por un margen significativo.
Los datos de registro de los programas maliciosos se obtienen mediante malware
que se ejecuta en máquinas infectadas (info-stealers). En cambio,
las listas de relleno de credenciales (credential stuffing) suelen
provenir de otras filtraciones de datos donde se exponen direcciones de
correo electrónico y contraseñas. Luego se recopilan, se venden, se redistribuyen y, finalmente, se utilizan
para acceder a las cuentas de las víctimas.
Y no solo a las cuentas de las que se filtraron inicialmente, ya que, al
reutilizar las contraseñas repetidamente, los datos de una filtración suelen
ser útiles en sitios web completamente distintos. Una filtración en un foro de
comentarios sobre gatos a menudo expone datos que pueden usarse para acceder a
las cuentas de compras, redes sociales e incluso correo electrónico de la
víctima. En ese sentido, los datos de relleno de credenciales se convierten en
la llave maestra.
Verificación de datos
Troy Hunt verificó los datos con su propio email , una dirección de correo
electrónico antigua de los 90 que ya había aparecido en listas de robo de
credenciales anterior. Además, encontró una contraseña asociada a esa
dirección, que sin duda usó hace muchísimo tiempo, y era tan mala como cabría
esperar de aquella época.
Sin embargo, ninguna de las demás contraseñas asociadas a su dirección de
correo le resultaba familiar. Pasando a los suscriptores de HIBP, contactó con
algunas personas que nunca habían estado involucrados en ninguna filtración de
datos. Las respuestas fueran muy variadas pero en resumen había contraseñas
reales, contraseñas creadas y nunca utilizadas y contraseñas que se habían
utilizado hace años en cuentas activas.
Las nuevas contraseñas se cargron en el servicio Pwned Passwords. Al hacerlo, no existe ninguna asociación entre la contraseña y la dirección
de correo electrónico asociada. Utilizar este servicio es fácil, anónimo y, según tus conocimientos técnicos,
puedes hacerlo de varias maneras:
-
Usa la página de búsqueda de Pwned Passwords. Las contraseñas están protegidas con un modelo de anonimato, por lo que
nunca las vemos (se procesan en el propio navegador), pero si tienes dudas,
comprueba las antiguas que te parezcan sospechosas. -
Usa la API de k-anonymity. Esta es la que impulsa la página del punto anterior, y si sabes
programar, es una forma sencilla que te da total seguridad en cuanto al
anonimato. -
Usa Watchtower de 1Password. El gestor de contraseñas incluye un comprobador integrado que utiliza la
API mencionada y puede verificar todas las contraseñas de tu bóveda.
Aspectos técnicos curiosos de esa cantidad de datos
Este conjunto de datos es casi tres veces mayor que el de la mayor filtración
anterior que se había cargado. Gestionar los matices de los índices de SQL
Server para optimizar tanto las inserciones como las consultas no es
precisamente divertido, y se tuvo usar la nube al máximo, alcanzando un máximo
de 80 núcleos durante casi dos semanas.
Notificar a los suscriptores es otro problema. Enviar 2,9 millones de correos
es complicado para evitar terminar en una lista negra por mala reputación o
que el servidor receptor limite el envío de correos.
Fuente:
TroyHunt