Semana de la seguridad 23: pérdida de contraseña de LiveJournal

El miércoles 27 de mayo, el servicio Haveibeenpwned , que rastrea las filtraciones de contraseñas de los usuarios, tiene una base de datos de inicios de sesión y contraseñas para el servicio LiveJournal. La fuga de datos supuestamente ocurrió en 2014.

Sin embargo, según Troy Hunt, el fundador del servicio Haveibeenpwned, recibió algunas pruebas de la presencia en la base de datos de cuentas creadas más tarde. A juzgar por una parte de la base de datos publicada en el sitio web de Bleeping Computer , alrededor de 30 millones de usuarios obtuvieron acceso abierto a direcciones de correo electrónico, enlaces a perfiles y contraseñas en texto plano. Inicialmente, se suponía que las contraseñas se representaban como hash MD5.

Los rumores sobre la fuga de la base de datos de contraseñas de LiveJournal fueronde vuelta el año pasado. Aunque los representantes del alojamiento del blog no informaron piratería, se confirmó la autenticidad de los datos, incluidos los propietarios del servicio Dreamwidth . Esta plataforma, basada en una base de código similar, a menudo se usaba al mismo tiempo para copiar blogs. En el lado de Dreamwidth, confirmaron un aumento en el número de ataques de relleno de credenciales cuando muchas cuentas intentan descifrar contraseñas de otro servicio. La publicación en el sitio web de Bleeping Computer describe con suficiente detalle cómo los atacantes usan filtraciones de contraseña.

Otra fuga es una buena razón para observar la situación por parte del usuario. Uno de los autores del resumen recibió una notificación del servicio Troy Hunt. También puede verificar allí (si confía en él) si hay una contraseña específica en la base de datos de fugas; la contraseña actual para LJ no se encuentra de esta manera. En el caso general, si en los últimos años cambió la contraseña en LiveJournal u otro servicio que sufrió la fuga de la base de datos de contraseñas, está casi seguro.

¿Por qué casi? El hecho es que la contraseña anterior puede ser adecuada para otros servicios si la reutilizó o si olvidó hace mucho que se registró en algún sitio. El ejemplo con Dreamwidth es indicativo: en un momento estaba de moda hacer una copia de seguridad del diario en este servicio, de forma gratuita y en un par de clics. Resulta fácil olvidarse de tal copia y resulta que los atacantes pueden acceder a ella. Los blogs abandonados hace mucho tiempo que podrían ser vandalizados están en peligro particular. La filtración de información personal de publicaciones de subbloqueo tampoco es un escenario agradable.

Bleeping Computer menciona otros ejemplos de ataques. Además de hackear cuentas en el servicio afectado, las contraseñas se usan para chantajear en correos no deseados. Escenario típico: recibe una carta con un mensaje sobre el presunto pirateo de su computadora, la contraseña de la base de datos de fugas se proporciona como evidencia. Los usuarios que usan la misma contraseña para todo y nunca la han cambiado están en mayor riesgo: cada incidente aumenta las posibilidades de una fuga total de datos personales, hasta el robo de fondos de una cuenta bancaria.

LiveJournal no es el único servicio cuyas bases de datos de información de usuario se han compartido. En la categoría condicional de redes sociales, en diferentes momentos, las contraseñas fueron robadas de los servicios 500px en 2018, AdultFriendFinder y Badoo en 2016, imgur en 2013, LinkedIn y Last.fm en 2012. La filtración de LiveJournal se distingue por un largo tiempo de exposición de la base de datos: después de piratear, que ocurrió en el período de 2014 a 2017, las contraseñas de los usuarios no cayeron en el acceso público hasta mayo de 2020.

Esto, por supuesto, no impide la reventa de información sobre el mercado negro. La protección del usuario depende en gran medida de los proveedores de servicios digitales, y aquí solo queda desear que todos, si es posible, no almacenen contraseñas en texto claro. Pero la realidad es que los usuarios deben tomar medidas. Claramente, usar contraseñas hace tres años en cualquier lugar no es una buena idea.

Qué más pasó:
un estudio interesanteKaspersky Lab en un ataque a empresas industriales. La publicación aborda la etapa inicial de tales ataques: intentos de penetrar en la infraestructura de red tradicional, no muy diferente de los demás. El ataque descrito está claramente dirigido, correos electrónicos de phishing con archivos adjuntos maliciosos (archivo XLS con macros) y, inesperadamente, se utiliza esteganografía: el script descarga la imagen del alojamiento público para evitar los medios de protección y decodifica la siguiente etapa del malware.

La última versión de UnC0ver jailbreak para dispositivos iOS funciona incluso con dispositivos con iOS 13.5. Los autores de la herramienta de pirateo mencionan la presencia de alguna vulnerabilidad de día cero.

Los especialistas de Radware realizaron un análisisLlamadas falsas de botnet. A diferencia de muchas otras operaciones criminales de pirateo masivo de enrutadores de red y otros dispositivos, no utiliza el descifrado de contraseñas, sino un conjunto de vulnerabilidades para vulnerabilidades comunes en software embebido. Otra botnet utiliza el sistema legítimo de recopilación de telemetría de la compañía china Baidu para transferir datos de los sistemas infectados al servidor de comandos.

La división de seguridad de Microsoft advierte sobre un grupo de ransomware conocido como Ponyfinal. Ella se especializa en objetivos corporativos. El esquema de ataque tiene motivos familiares: piratear contraseñas débiles, control manual de víctimas, robo de datos antes del cifrado. Esto último hace posible exigir un rescate dos veces: para restaurar la información y que no se haga pública.

Un interesante estudio de Veracode ( noticias , fuente en PDF). Después de analizar 85 mil aplicaciones, el 70% de ellas encontraron ciertos errores previamente descubiertos en componentes de código abierto. Los desarrolladores de software masivo móvil y de escritorio usan código distribuido libremente durante el desarrollo, pero no siempre cierran las vulnerabilidades conocidas en sus compilaciones.