Sobre que no hay escasez de brechas de seguridad que terminan con la filtración de datos de usuarios, recientemente se descubrió que hubo un ataque el cual terminó con un set llamado “Colección # 1” y en lo que respecta a la cantidad de información confidencial filtrada, esta es la más grande y es que cuenta con 772,904,991 correos electrónicos únicos y 21,222,975 contraseñas únicas expuestas.
Troy Hunt, el investigador de seguridad que dirige el sitio Have I Been Pwned (HIBP) fue el primero en informar sobre esta filtración y en su sitio podemos revisar si nuestro e-mail fue parte de todo esto. En su blog, Hunt dice que se había subido al sitio MEGA (ya saben el servicio ese bastante popular donde podemos subir archivos a la nube) un archivo único que contenía 12,000 archivos separados dentro alcanzando los 87 GB de tamaño. Luego de esto los datos fueron publicados en un foro de piratería popular y pareciera ser que estos archivos son una fusión de más de 2,000 bases de datos, ahora, lo preocupante es que las bases de datos contienen contraseñas sin “hashear” lo que significa que los métodos utilizados para hacer las contraseñas en ilegibles se han descifrado exponiéndolas completamente.
Entonces, ¿qué significa todo esto para el usuario promedio? Según Hunt, significa que los packs de correo electrónico+contraseña comprometidos son más propensos para ser utilizados en una práctica llamada relleno de credenciales. Básicamente, el relleno de credenciales es cuando se utilizan combinaciones de nombre de usuario o de correo electrónico / contraseña filtradas para piratear otras cuentas de usuario. Esto podría afectar a cualquiera que haya usado el mismo combo de nombre de usuario+contraseña en múltiples sitios. Esto es preocupante ya que la filtración de la Colección # 1 contiene casi 2.7 mil millones de estos combos. Además, por si fuera poco alrededor de 140 millones de correos electrónicos y 10 millones de contraseñas de este pack son nuevos en la base de datos HIBP de Hunt, lo que significa que es información privada casi totalmente nueva no perteneciente a hackeos anteriores.
Así que no queda otra más que recomendar que revisar en el sitio
Have I Been Pwned (HIBP) si nuestro email aparece en alguna base de datos y cambiar la contraseña inmediatamente, además una buena práctica es utilizar un password manager como 1password o Lastpass que generan contraseñas extremadamente seguras y las administran para que no tengamos que andar recordando contraseñas de todos los sitios que visitamos y utilizamos