Contenido
- El creador de Have I Been Pwned, Troy Hunt, anunció la violación de datos de la Colección # 1.
- La colección de archivos contiene millones de direcciones de correo electrónico y contraseñas comprometidas.
- Los datos comprometidos supuestamente provienen de 2.000 bases de datos.
Las violaciones de datos se han vuelto tan comunes hoy en día que casi nos hemos vuelto insensibles a ellas. Sin embargo, el investigador de seguridad y el creador de Have I Been Pwned, Troy Hunt, acaba de informar una violación de datos que perjudicará durante mucho tiempo: Colección # 1.
La Colección n. ° 1 es un archivo masivo que se subió recientemente al servicio de almacenamiento en la nube Mega. El archivo presenta 12,000 archivos separados que contienen 87GB de datos.
¿Qué hay en los datos, podrías preguntar? 772,904,991 direcciones de correo electrónico únicas y 21,222,975 contraseñas únicas. Un problema importante son las contraseñas robadas que han roto el hashing protector. Es por eso que las contraseñas se muestran como texto sin formato en lugar de ser cifradas criptográficamente cuando se violaron los sitios web.
Ahora enviando un correo electrónico a 768,253 individuos que se suscribieron para recibir notificaciones y otros 39,923 que están monitoreando dominios ...
- Troy Hunt (@troyhunt) 16 de enero de 2019
Estas contraseñas descifradas permiten un segundo problema, una práctica llamada relleno de credenciales. El relleno de credenciales es cuando las combinaciones de nombre de usuario o correo electrónico / contraseña violadas se utilizan para ingresar a la cuenta de otra persona. Los atacantes no necesitan fuerza bruta o adivinar contraseñas, solo pueden automatizar los inicios de sesión.
El relleno de credenciales es particularmente preocupante para aquellos que usan la misma combinación de nombre de usuario y contraseña en todos los sitios web.
Sucede que la Colección n. ° 1 contiene casi 2.700 millones de combinaciones. También sucede que aproximadamente 140 millones de direcciones de correo electrónico y 10 millones de contraseñas de la Colección # 1 son nuevas en la base de datos Have I Been Pwned.
Tampoco olvidemos la naturaleza descentralizada de la Colección # 1. Las infracciones anteriores generalmente tenían un lado positivo: cada infracción podía vincularse a un sitio web. No es así con esta violación, que se compone de violaciones en 2.000 bases de datos.
En este caso, el único lado positivo posible es que Hunt no sabe si cada violación en la Colección # 1 es legítima. Sin embargo, Hunt también dijo que esta es "la violación más grande que se haya cargado en HIBP".
¿Qué tengo que hacer?
Primero, vaya a Have I Been Pwned y escriba su dirección de correo electrónico. El sitio le permite saber si una cuenta que utiliza esa dirección de correo electrónico se vio comprometida.
Si ya usó Have I Been Pwned, debería haber recibido una notificación de incumplimiento. Casi la mitad de los usuarios del sitio están atrapados en la brecha, así que tenlo en cuenta si eres miembro.
Desde allí, haga clic en elContraseñas pestaña en la parte superior de ¿He sido Pwned? Pwned Passwords le permite saber si su contraseña se vio comprometida y le ayuda a usar contraseñas seguras.
Si tiene una dirección de correo electrónico comprometida y contraseñas comprometidas, es hora de limpiar sus prácticas de contraseña. Si un sitio lo admite, use la autenticación de dos factores. Puede que no sea infalible, pero la autenticación de dos factores ayuda a disuadir a la mayoría de los que desean acceder a su cuenta.
También puede evitar usar la misma contraseña en varios sitios. Es tentador usar la misma contraseña por conveniencia, pero la práctica es una peligrosa espada de doble filo.
Finalmente, use un administrador de contraseñas. 1Password, Dashlane y LastPass son tres de las opciones más populares que existen, aunque también puede usar el método probado de lápiz y papel.
Ah, y cambia tu contraseña. Definitivamente cambie su contraseña. Que sea algo complejo, algo que no se puede encontrar en un diccionario.
