En sólo 10 días se han crackeado más de 11 millones de contraseñas de Ashley Madison
Ha pasado ya casi un mes desde el ataque contra Ashley Madison, uno de los más graves de los últimos meses que dejó al descubierto a 37 millones de usuarios que utilizaban la plataforma para ser infieles a sus parejas. Entre los más de 100 Gigabytes de información robada de los servidores cabe destacar las contraseñas utilizadas por todos los usuarios de la plataforma, aunque eso sí, se almacenaban de forma cifrada y seguras, igual que como en teoría se guardaba la información de los usuarios de la plataforma.
Desde el principio se pensaba que las contraseñas de Ashley Madison estaban cifradas por el algoritmo BCrypt. Este algoritmo tiene la característica de ser tan lento que se podrían tardar siglos en descifrar la base de datos de contraseñas completa, sin embargo parece que el proceso va más rápido de lo esperado.
El grupo de crackers Cynosure Prime asegura haber roto ya el cifrado de más de 11 millones de contraseñas de las bases de datos de los usuarios de Ashley Madison en tan sólo 10 días. Aunque las contraseñas sí que estaban cifradas mediante el algoritmo BCrypt, este grupo de crackers detectó un fallo de seguridad al analizar el código fuente de la web en el que los tokens de acceso se protegieron con el algoritmo MD5, un algoritmo mucho menos seguro y rápido de crackear.
De esta manera los crackers de Cynosure Prime utilizaron la fuerza bruta con estos tokens, pudiendo resolver en menos de 10 días más de 11 millones de contraseñas de los usuarios de las plataformas.
Aunque se han conseguido romper la seguridad de estas 11 millones de contraseñas, los crackers no van a poder avanzar más y descifrar la seguridad de los 37 millones de las mismas. Esto se debe a que el algoritmo MD5 no se introdujo hasta junio de 2012, estando las contraseñas anteriores a dicha fecha protegidas y siendo mucho más complicado poder crackearlas.
Todos los usuarios registrados en Ashley Madison, si no lo han hecho aún, deberían cambiar la contraseña de los sitios donde también utilizaran la misma (correo electrónico, redes sociales, bancos, etc), aunque la verdad es que el crackeo de sus contraseñas debería ser uno de sus menores problemas tras la publicación de los datos de la red social.
¿Crees que el ataque y la filtración de los datos de Ashley Madison aún pueden causar más dolores de cabeza a los afectados?
Quizá te interese:
- Comprueba si tus datos (o los de tu pareja) han sido filtrados en el ataque contra Ashley Madison
- Impact Team publica 20GB más de datos sobre Ashley Madison
- Publican los datos robados de los 37 millones de usuarios de Ashley Madison
- Hackean el popular sitio de citas AshleyMadison