Comenzamos esta nota definiendo Collection #1, es un conjunto de direcciones de correo electrónico y contraseñas que suman 2, 692, 818,238 filas. Se compone de muchas violaciones de datos individuales de literalmente miles de fuentes diferentes.
Have I Been Pwned, el servicio de notificación de infracciones que sirve como un referente para la seguridad de las contraseñas de inicio de sesión, acaba hacer pública la mayor transferencia de datos, una lista que incluye casi 773 millones de direcciones de correo electrónico únicas y 21 millones de contraseñas únicas que son usadas para iniciar sesión en sitios de terceros.
De acuerdo con Troy Hunt, fundador de Have I Been Pwned, la lista es una compilación de muchas listas más pequeñas tomadas de brechas pasadas y que ha tenido una amplia circulación durante la semana pasada. Nombrada «Colección # 1», los datos agregados probablemente fueron recopilados para servir como una lista maestra que los hackers podrían usar en los ataques de relleno de credenciales. Estos ataques utilizan scripts automatizados para inyectar las credenciales de un sitio web dañado en un sitio web diferente con la esperanza de que los titulares reutilicen las mismas contraseñas.
Las 773 millones de direcciones de correo electrónico y 21 millones de contraseñas superaron fácilmente la notificación de violación de registro anterior de Have I Been Pwned que contenía 711 millones de registros. Pero hay otras cosas que hacen que esta última entrega se destaque. En total, contiene 1.16 mil millones de combinaciones de correo electrónico y contraseña. Eso significa que la lista cubre a las mismas personas varias veces, pero en muchos casos con contraseñas diferentes.
Datos significativos:
- La lista, contenida en 12,000 archivos separados que ocupan más de 87 gigabytes de espacio en disco, tiene 2,69 billones de filas, muchas de las cuales contienen entradas duplicadas.
Aproximadamente 663 millones de las direcciones se han enumerado en las notificaciones anteriores de Have I Been Pwned, lo que significa que el servicio nunca había visto 140 millones de direcciones. Have I Been Pwned ha comenzado la tarea de enviar por correo electrónico a más de 768,000 personas que se registraron para recibir notificaciones y cerca de 40,000 personas que monitorean los dominios.
Hunt comentó también: «Las personas recibirán notificaciones o navegarán al sitio, esto será un pequeño recordatorio más sobre el uso indebido de nuestros datos personales». En el mismo comunicado mencionó: «Si, como yo, está en esa lista, las personas que intentan entrar en sus cuentas en línea lo están haciendo circular entre ellos y buscan aprovechar los atajos que pueda estar tomando con su seguridad en línea».
Hunt dijo que una de las preguntas que más le hacen es si divulgará la contraseña que acompaña a la dirección de correo electrónico en caso de incumplimiento. Él se ha negado rotundamente por las siguientes razones: en primer lugar, el emparejamiento de nombres de usuario y contraseñas convertiría su servicio en un objetivo importante para los piratas informáticos. También le requeriría almacenar las contraseñas en texto claro, que es algo que ningún sitio debería hacer.
¿Tu correo está dentro de esta brecha? Puedes averiguarlo aquí.
{{cta(‘500d2f11-0d86-43a8-ab06-f976a8dec2dc’)}}