28/05/24 - Nueva filtración MASIVA de datos (c/passwords en texto plano)

Cada cierto tiempo me llegan avisos de haveIbeenpwned (servicio al cual estoy suscrito), indicando alguna nueva vulnerabilidad/hackeo con leak de datos. La verdad no los pesco mucho ya que son de páginas, y por ende passwords, que no uso y/o cambié hace años.

Anoche y como otras veces, me llegó un aviso más del sitio.

You've been pwned!​

You signed up for notifications when your account was pwned in a data breach and unfortunately, it's happened. Here's what's known about the breach:

Email found:[email protected]
Breach:Telegram Combolists
Date of breach:28 May 2024
Number of accounts:361,468,099
Compromised data:Email addresses, Passwords, Usernames
Description:In May 2024, 2B rows of data with 361M unique email addresses were collated from malicious Telegram channels. The data contained 122GB across 1.7k files with email addresses, usernames, passwords and in many cases, the website they were entered into. The data appears to have been sourced from a combination of existing combolists and info stealer malware.

No le di mucha importancia... pero hoy en la mañana lo leí con mas detalle, y quedé :naster

In May 2024, 2B rows of data with 361M unique email addresses were collated from malicious Telegram channels. The data contained 122GB across 1.7k files with email addresses, usernames, passwords and in many cases, the website they were entered into. The data appears to have been sourced from a combination of existing combolists and info stealer malware.

Si, leyeron bien. Esta vez no es solo hashesitos MD5 o bcrypt: son literalmente combos tipo website=username=password en texto plano.

Ustedes pensarán "hmmm pero capaz son claves viejas, igual que en otras filtraciones". Bueno, en el mismo sitio existe una sección para ver si una password cualquiera está dentro de algún breach, SIN asociarla a ningún servicio obviamente - solamente te indica sí o no.

Sin mucho que perder, me fui a revisar algunas de mis passwords, y ahora sí quedé helado:

1717555956522.png


mqdefault.jpg


El aviso de arriba es de la password que uso (usaba) acá mismo en Capa9 y en 2 sitios más, password que a lo sumo tiene 1 año. Peor aún, me sale que también existe en al menos 1 leak previo - siendo que en ocasiones anteriores donde la revisé, no estaba comprometida.

Podemos asumir que esta filtración sí es seria y peligrosa, ya que puede abarcar claves en uso ahora mismo por uds. en bancos, sitios privados etc.


Además en el mismo artículo el autor comenta que contrario a leaks anteriores, donde muchos correos (cuentas) se repiten, acá hay al menos 151 millones de correos frescos que NO habían aparecido previamente en ningún otro leak. Debe ser acá donde aparecieron mis datos.

...

Ahora bien... ¿de dónde $%&# sacaron una clave que personalmente creía segura? La verdad, NPI :pozo pero el artículo habla de posible malware.

En lo personal me considero usuario avanzado y suelo oler scams/baits/virus a 20 leguas, mis dispositivos los tengo bien gestionados y al menos en el caso de Android, reviso súper bien las apps que instalo (mis unicas APK 'externas' son de Tachiyomi y MiXplorer, ambos proyectos open-source de larga data y baja/nula sospecha).

Y aun así me pegó.... Ya cambié varias de mis claves pero aún me faltan, y tendré que peinar con lupa todos mis dispositivos.

TL;DR quedan avisados: revisen si sus passwords están comprometidas, y activen 2FA donde sea posible.
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.544
A todo esto, un retail que no recuerdo si es ripley o falabella te asocia tu tarjeta a onclick sin avisar.
Eso hace q desde ese momento puedas comprar sin necesidad de usar segundo factor. Me pareció super inseguro.

Es similar al hack qué pasó con el líder.
 
Última modificación:

NSonic

* Mako-Chan *
Se incorporó
23 Abril 2007
Mensajes
774
Espera.
Van y escriben SUS PASSWORDS en un sitio X para que les diga si han sido vulnerados?

200w.gif
No es chiste, nica pruebo las claves en esos sitios "SEGUROS".
Es como usar Windows 11 con Copilot Pro sapeando todo con Recall.
 

sndestroy

Digital Detox
Miembro del Equipo
MOD
Se incorporó
8 Abril 2009
Mensajes
1.846
Espera.
Van y escriben SUS PASSWORDS en un sitio X para que les diga si han sido vulnerados?

200w.gif


No es "un sitio X", es EL sitio de referencia en filtraciones de datos... por algo están aliados con grandes como Google, Cisco, Mozilla etc.



Y nuevamente.... al ingresar una pass random para revisar, NO HAY ASOCIACION CON CORREOS/SITIOS/CUENTAS, la pass ni siquiera es enviada al servidor para su consulta (todo es en el lado cliente). Si aún les genera dudas, acá pueden ver como incluso Cloudflare cooperó con la implementación:



Me extraña que no lo ubiquen, se supone que es un foro técnico :dalomismo
 

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.890
y contra que compara?
puede que me equivoque pero creo que genera localmente un hash y envia ese hash al servidor que es lo que busca, si sale te avisa si no sale no avisa y no tienen como saber cual es tu contraseña a no ser que desencripten de vuelta.
 

naarf

aaaasí no mas
Se incorporó
15 Diciembre 2011
Mensajes
680
puede que me equivoque pero creo que genera localmente un hash y envia ese hash al servidor que es lo que busca, si sale te avisa si no sale no avisa y no tienen como saber cual es tu contraseña a no ser que desencripten de vuelta.
en algun punto de comparacion, ellos tienen la clave que hizo match, nose llamenme paranoico.
 

wurrzag

Ciclista Jipi
Se incorporó
30 Mayo 2006
Mensajes
8.890
en algun punto de comparacion, ellos tienen la clave que hizo match, nose llamenme paranoico.
la filtrada
Ellos
agarran las claves filtradas (incluidas la tuya si es que está) y las encriptan, todas.

Luego por tu lado
En la página colocas tu clave (o lo que quieras) y se encripta, al apretar el botón envias la secuencia encriptada al servidor

Ellos ahora comparan la secuencia encriptada que les enviaste con la que tienen guardadas (encriptadas), si no coinciden no tienen forma "fácil" de saber si es que es muy parecida a una que ya tienen (macoy1234 p.ej.)

¿Podrían desencriptar? si, pero ahí tienen que hacer el trabajo de unir tu "perfil" con la contraseña que enviaste y/o correlacionar con una que ya tienes filtrada en cuyo caso da lo mismo porque, ya está filtrada


Al menos eso fue lo que entendí en su momento

PS: ahora que recuerde creo que hay un paso un poco mas largo porque parece que primero encripta una parte inicial y si eso coincide lo hace con la secuencia completa, pero el caso es lo mismo, se supone que tu contraseña y la comparación no es en base al texto plano si no que a una ofuscada/encriptada/como quieras llamarle por ambos lados
 

naarf

aaaasí no mas
Se incorporó
15 Diciembre 2011
Mensajes
680
la filtrada
Ellos
agarran las claves filtradas (incluidas la tuya si es que está) y las encriptan, todas.

Luego por tu lado
En la página colocas tu clave (o lo que quieras) y se encripta, al apretar el botón envias la secuencia encriptada al servidor

Ellos ahora comparan la secuencia encriptada que les enviaste con la que tienen guardadas (encriptadas), si no coinciden no tienen forma "fácil" de saber si es que es muy parecida a una que ya tienen (macoy1234 p.ej.)

¿Podrían desencriptar? si, pero ahí tienen que hacer el trabajo de unir tu "perfil" con la contraseña que enviaste y/o correlacionar con una que ya tienes filtrada en cuyo caso da lo mismo porque, ya está filtrada


Al menos eso fue lo que entendí en su momento

PS: ahora que recuerde creo que hay un paso un poco mas largo porque parece que primero encripta una parte inicial y si eso coincide lo hace con la secuencia completa, pero el caso es lo mismo, se supone que tu contraseña y la comparación no es en base al texto plano si no que a una ofuscada/encriptada/como quieras llamarle por ambos lados
ahora entiendo todo, le envias un hash con una parte de la clave y ellos contestan todas las parecidas y luego de lado del cliente comparas con el listado que te enviaron, les confiare mis claves.

1717702407883.png


1717702568959.png
 
Subir