Descubren una base de datos con dos millones de credenciales robadas
Un grupo de investigadores ha descubierto una base de datos en Internet llena de información de credenciales robadas a Facebook, Yahoo!, Twitter o Google.
Dos millones de inicios de sesión y contraseñas de servicios como Facebook, Google, Twitter e incluso LinkedIn, se han encontrado en un servidor localizado en Holanda, parte de una botnet conocida como Pony. Además de credenciales de estos populares servicios, también se ha encontrado información de la compañía ADP, especializada en software de recursos humanos. Así lo ha explicado Daniel Chechik, investigador de seguridad de Trustwave SpiderLabs, a través de un post.
El investigador dice haber encontrado la información después de utilizar el código fuente del controlador de botnet Pony que se filtró en Internet. Utilizando estos datos su grupo de investigación fue capaz de rastrear la información asociada a sus capacidades de robo de datos y encontraron el volcado de datos de contraseñas de servicios y páginas web líderes. Se calcula que ADP movió 1,4 billones (trillones según el sistema británico) de dólares en el año fiscal 2013 sólo en Estados Unidos, donde es el responsable de los pagos a uno de cada seis trabajadores.
Se han encontrado las credenciales de 318.121 usuarios de Facebook, 59.549 credenciales de acceso a los servicios de Yahoo! y 54.437 de usuarios de Google. Además de LinkedIn, también se han detectado credenciales de dos redes sociales rusas, VKontakte y Odnoklassniki. La botnet también robó información relacionadas con escritorios remotos, FTP o cuentas Shell seguras.
En total se han detectado 1,58 millones de credenciales de acceso a páginas web, 320.000 credenciales para acceder a cuentas de correo electrónico, datos de acceso a 41.000 FTP y 3.000 credenciales para acceder a escritorios remotos.
Durante la investigación se detectó que el servidor almacenaba la información de las credenciales de una única dirección IP localizada en Holanda, lo que sugiere que los atacantes estaban utilizando un Gateway entre los ordenadores infectados y el servidor de comando y control; esta técnica es muy utilizada por los ciberdelincuentes ya que permite mantener a salvo el servidor de comando y control.
La investigación ha permitido saber que los usuarios seguimos siendo tremendamente ingenuos a la hora de escoger las contraseñas. Un total de 15.820 cuentas utilizaban como contraseña ‘123456’; le seguían las contraseñas ‘123456789’ y ‘1234’; la cuarta más popular era ‘password’ (contraseña en inglés), mientras que la quinta era ‘12345’.