Hace unos días un usuario bajo el nick 'tvskit' publicó
una entrada en un foro ruso sobre Bitcoin, la moneda virtual. El título de la
entrada venía a decir: "GMail, cambia la contraseña". En ella
adjuntaba un archivo de texto con casi 5 millones de credenciales de cuentas de
correos. Nombre de usuario y contraseñas en texto plano, nada de hashes.
Al poco, uno de
los administradores del foro editó el archivo borrando las contraseñas, dejando
solo los nombres de usuario. De esta forma evitaban posibles problemas legales
y a su vez permitía que todo aquel que quisiera pudiese bajar el archivo para
consultar si alguna de sus cuentas estaba allí.
La gran mayoría
de cuentas pertenecen al dominio de gmail.com. El resto a yandex.ru y una a
mail.ru. Curiosamente, estos dos últimos dominios habían sido objeto de una
filtración similar hace pocos días y de una magnitud (millones) semejante.
Hubo medios que
se apresuraron a publicar la noticia dejando en el aire la posibilidad de que
los servidores de GMail pudiesen haber sido objeto de un ataque. Google no
esperó mucho para despejar la incógnita. A través de una entrada en el blog de
"Google Online Security", explicaron que ellos ya detectan
activamente este tipo de filtraciones y que tan solo el 2% de las cuentas no
estaban completamente operativas y eran accesibles. Sin embargo otras fuentes
elevan esa tasa al menos al 60% de las cuentas.
¿Entonces no hubo ataque?
· No
hay motivos que indiquen que haya sido una brecha. Si observamos el archivo
todas las credenciales aparecen en texto plano, es habitual que las
filtraciones de credenciales tengan la forma de usuario/hash, por supuesto si
el sitio atacado no almacena las contraseñas en texto plano, que los hay. A
veces también es común que parte de los hashes más comunes hayan sido
previamente pareados, no es el caso.
· Este
tipo de filtraciones son comunes. Solo basta hacer una búsqueda en determinados
sitios y salen cientos de cuentas. Esto ha llegado a los titulares por el
tamaño del archivo y por ello a quien
salpicaes a Google.
· Si
tuviésemos que dar una explicación del origen y la causa de la filtración
probablemente apuntaríamos al mercado negro. Un archivo así,
"fresco", vale un buen montón de dinero. Por fresco nos referimos a
la validez de las cuentas. Si tienes un archivo con un millón de cuentas de
hace varios años la gran mayoría de cuentas o habrán cambiado credenciales o
habrán sido abandonadas por sus usuarios. Eso no vale nada.
¿De donde
salen esas cuentas?
· Phishing
y troyanos por supuesto. Es la manera más fácil, masiva y sencilla para robar
cuentas. No tienes que atacar servidores ni trabajar sobre los hashes, basta
con un phishing o un troyano efectivo para que poco a poco el archivo de
credenciales robadas crezca.
· Evidentemente
cinco millones de cuentas no es el fruto de un par de meses recolectando. Ese
archivo, probablemente, comenzó hace años a recibir entradas. Incluso es
posible que su origen sea la concatenación de otros muchos archivos más
pequeños.
RECOMENDACIÓN
¿Cómo
puedo asegurar mi cuenta?
- Cambia tu contraseña si ha pasado mucho tiempo, elige una contraseña segura y aprovecha todas las funcionalidades de seguridad que te ofrece el sitio: doble factor autenticación, etc.
· Existen
muchos servicios por Internet donde puedes consultar esta duda, sin embargo
cuidado, el hecho de meter una cuenta de correo en uno de estos sistemas podría
conllevar el riesgo de que tu cuenta pase a engrosar una lista de spam. Si nos
pides recomendación hemos usado varias veces el que administra Troy Hunt: https://haveibeenpwned.com
· Otra
manera de conocer si tu cuenta ha sido filtrada es notar un aumento de spam en
la bandeja de entrada ¿Has recibido publicidad no deseada sobre ropa interior
con sabor?
Más
información:
- Гмайл
- меняй пароль https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/
- Cleaning up after password dumps http://googleonlinesecurity.blogspot.com.es/2014/09/cleaning-up-after-password-dumps.html
- Не отставая от «Яндекса» и
Mail.ru: В Сеть выложены пароли от 5 миллионов ящиков GMail http://www.cnews.ru/top/2014/09/10/ne_otstavaya_ot_yandeksa_i_mailru_v_set_vylozheny_paroli_ot_5_millionov_yashhikov_gmail_585540