PDA

Ver la versión completa : Aquí tienes millones de usuarios y contraseñas para jugar



LUK
07-03-2015, 17:53
Hace poco más de dos semanas Mark Burnett, investigador de seguridad, publicó unfichero con 10 Millones de usuarios y contraseñas (https://xato.net/passwords/ten-million-passwords/#.VO_6r1PF-IF) que puedes descargar desde este Torrent (magnet:?xt=urn:btih:32E50D9656E101F54120ADA3CE73F 7A65EC9D5CB&dn=10-million-combos.zip&tr=udp%3a%2f%2ftracker.leechers-paradise.org%3a6969&tr=udp%3a%2f%2ftracker.coppersurfer.tk%3a6969%2fan nounce&tr=udp%3a%2f%2fopen.demonii.com%3a1337%2fannounce&tr=udp%3a%2f%2ftracker.leechers-paradise.org%3a6969%2fannounce&tr=http%3a%2f%2fbt.careland.com.cn%3a6969%2fannoun ce&tr=http%3a%2f%2fi.bandito.org%2fannounce&tr=http%3a%2f%2fopensharing.org%3a2710%2fannounce&tr=udp%3a%2f%2ftrackr.sytes.net%3a80). El fichero en sí no es más que la recolección de usuarios y contraseñas, anonimizados lo más posible, que han sido recolectados de Internet utilizando diferentes técnicas, y que se ponen a disposición de investigadores que quieran utilizarlos en sus estudios.

Cuando digo que el investigador los ha "anonimizado" lo más posible, es porque ha quitado de ellos el dominio de la empresa de referencia para que no se pueda saber, al menos de forma directa, dónde eran válidas esas credenciales. Sí que es cierto que si se busca por algunos dominios conocidos sale información que hace presuponer dónde podrían haberse estado utilizando dichas credenciales.




http://2.bp.blogspot.com/-qpJB0YWz1BU/VPAIuEENCgI/AAAAAAAAZ4E/YG-8m4rnaBM/s1600/Facebook_pass.png (http://2.bp.blogspot.com/-qpJB0YWz1BU/VPAIuEENCgI/AAAAAAAAZ4E/YG-8m4rnaBM/s1600/Facebook_pass.png)


Figura 2: Grep Facebook sobre el fichero de usuarios y passwords




Las técnicas que utiliza el investigador para sacar las credenciales las ha explicado en otro post (https://xato.net/passwords/understanding-password-dumps/#.VPAHPFPF-IE), y no dejan de ser más que fuentes públicas conocidas como las que utiliza por ejemplo HaveIBeenPowned (http://www.elladodelmal.com/2014/03/mas-de-161-millones-de-identidades.html) o las que cualquiera puede encontrar haciendoHacking con Buscadores (http://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html), como se explica en este artículo titulado "Buscar las guaridas de los ladrones de Identidad (http://www.elladodelmal.com/2013/10/encontrar-las-guaridas-de-los-ladrones_16.html)". Las fuentes y servicios existentes hoy en día para localizar usuarios y contraseñas son muchas, y puedes monitorizar lugares habituales donde se publican como Pastebin (http://www.elladodelmal.com/2014/03/cuentas-robadas-y-bloqueos-en-yahoo.html) o suscribirte a servicios que ya te filtran las publicaciones en tiempo real como LeakedIN en formato RSS (http://www.elladodelmal.com/2012/05/leadkedin-seguir-los-data-leaks-por-rss.html) o Dump Monitor en Twitter (https://twitter.com/dumpmon).




http://2.bp.blogspot.com/-b16yTALC1uo/VPAIuKNKleI/AAAAAAAAZ4A/kIp67kQzZXc/s1600/DumpMonitor.jpg (http://2.bp.blogspot.com/-b16yTALC1uo/VPAIuKNKleI/AAAAAAAAZ4A/kIp67kQzZXc/s1600/DumpMonitor.jpg)


Figura 3: Dump Monitor en Twitter




Si quieres tener un buen diccionario de usuarios o passwords para hacer ataques de fuerza bruta, estudios o para probar las passwords suprayectivas (http://www.elladodelmal.com/2012/11/tus-passwords-son-suprayectivas.html) de un determinado sitio, este fichero está perfecto. Yo por pura curiosidad maligna he buscado qué passwords ponían los usuarios "chema" dumpeados en esta base de datos. Las hay muy curiosas.




http://4.bp.blogspot.com/-HeSN7HxQynA/VPAIuMlXJvI/AAAAAAAAZ4Q/MQfVZ-cofUQ/s1600/Chemas.png (http://4.bp.blogspot.com/-HeSN7HxQynA/VPAIuMlXJvI/AAAAAAAAZ4Q/MQfVZ-cofUQ/s1600/Chemas.png)


Figura 4: Passwords de cuentas "chema*"




Las passwords ya han dado mucho de sí y como os dije en el pasado, tenemos que acabar primero con las passwords complejas en los servicios online (http://www.elladodelmal.com/2014/09/se-deben-usar-passwords-complejas-en-la.html), para luego terminar de una vez con la identificación basada en conocer una cadena de caracteres, que si no esto va a seguir siendo el paraiso del robo de la identidad. Por ahora, pon un segundo factor de autenticación a todas las que puedas (http://www.elladodelmal.com/2013/12/como-proteger-las-identidades-digitales.html).


Saludos Malignos!