LeakedSource, un servicio que guarda una base de datos de cuentas filtradas, ha confirmado que ha añadido a la base de datos cerca de 427 millones de contraseñas de la red social. Desde MySpace no han emitido ningún tipo de información al respecto, al menos de momento, pero de confirmarse nos encontramos ante uno de los hackeos y robos de información más importantes en la historia de Internet. Os recomendamos leer nuestro tutorial sobre métodos de robar credenciales en Internet.
El servicio ha aplicado minería de datos a los datos subidos y ha permitido extraer algunas cifras muy curiosas, como por ejemplo las contraseñas más utilizadas o el listado de dominios en lo referido a cuentas de correo y el correspondiente número de usuarios. También han explicado que aunque son 427 millones de cuentas solo poco más de 360 millones de credenciales son válidos y poseen información asociada a la cuenta. Con esto se quiere decir que muchos entradas de la tabla solo poseen el usuario, o la contraseña o bien información adicional pero sin las credenciales de acceso. A pesar de todo sigue siendo una cifra muy a tener en cuenta. Podéis visitar nuestro tutorial sobre cómo guardar las credenciales de usuario en mi web. Conoce cómo configurar directiva de Windows de contraseñas.
Los responsables de LeakedSource recibieron los datos a través de un usuario anónimo de Jabber, el cual confirmó que la base de datos ya está a la venta en el mercado negro.
De nuevo aparece un problema muy común: varios servicios afectados. Los usuarios tenemos la mala costumbre de reutilizar las contraseñas y eso repercute de forma negativa cuando se produce un problema de estas características, ya que ahora se deberá cambiar la contraseña de este y otros servicios para evitar un problema de seguridad mayor.
Credenciales cifrados pero accesibles
Antes hemos mencionado la minería de datos aplicada a los datos, algo que no habría sido posible en el caso de las contraseñas si no se hubiese accedido a esta información. Sí que es verdad que este dato está cifrado haciendo uso de SHA1 pero esto no ha evitado para que los responsables del servicio hayan accedido a una amplia mayoría, por lo que el almacenamiento de las contraseñas de este servicio no es para nada seguro.
Tengo una cuenta en MySpace: ¿debo tomar alguna medida?
Por el momento los responsables del servicio no han emitido ningún tipo de comunicado para confirmar o desmentir lo sucedido, aunque todo parece indicar que se trata de un fallo de seguridad que ha dejado expuesta una gran cantidad de información, entre ella las credenciales de acceso de las cuentas de usuario.
Por este motivo, la mejor medida que se puede tomar es modificar las contraseña que se tiene en la cuenta del servicio MySpace, evitando de esta forma que la cuenta pueda utilizarse de forma no autorizada.