Un hacker intenta vender 167 millones de registros de usuarios de LinkedIn
Los datos incluyen contraseñas 'hash' de 117 millones de cuentas de LinkedIn y el robo podría remontarse a 2012. Se recomienda cambiar la contraseña, sobre todo si se usa la misma para otros sitios.
Un hacker ha intentado vender una base de datos que contiene registros de cuentas de 167 millones de usuarios de LinkedIn. El anuncio se publicó en un sitio web del mercado oscuro llamado TheRealDeal por un usuario que pedía 5 bitcoins, unos 2.200 dólares, por el conjunto de datos que supuestamente contenían ID de usuarios, direcciones de correo electrónico y contraseñas SHA1 de 167.370.940 usuarios. Según el anuncio de la venta, el volcado no cubría la base de datos completa de LinekdIn. De hecho, LinkedIn afirma que su sitio web tiene más de 433 millones de miembros registrados.
Triy Hunt, creador de 'Have I been pwned?', un sitio web que permite a los usuarios comprobar si han sido afectados por filtraciones de datos conocidas, considera que es muy probable que la fuga sea verídica. Él ha tenido acceso a alrededor de un millón de registros del conjunto de datos. “He visto un subconjunto de esos datos y puedo verificar que es real”, explica Hunt.
LinkedIn ya sufrió una brecha de datos en 2012, que dio como resultado que los registros de seis millones y medio de usuarios y las contraseñas se publicaran online. Es muy posible que esa brecha de 2012 fuera más grande de lo que se pensaba y el resto de datos robados estén saliendo a la luz ahora. Por el momento, Linkedin no se ha pronunciado al respecto.
Los intentos de ponerse en contacto con el vendedor fracasaron, pero los administradores de LeakedSource, un sitio web de indexación de fugas de datos, afirman tener también una copia del conjunto de datos y creen que estos registros provienen de la brecha de 2012.
Contraseñas 'hash'
“Las contraseñas fueron almacenadas en SHA1 sin salt”, explicaron los administradores de LeakedSource en su blog. “Eso no es lo que proponen los estándares de Internet. Sólo 117 millones de cuentas tienen contraseñas y suponemos que el resto de usuarios se registraron a través de Facebook o algo similar”. Las mejores prácticas de seguridad exigen que las contraseñas se almacenen en formato hash dentro de las bases de datos. El hashing es una operación unidireccional que genera representaciones criptográficas únicas y verificables de una cadena llamada hash. El hashing es la forma más utilizada para validar contraseñas porque la ejecución de una contraseña con el mismo proceso de hashing, siempre va a dar como resultado el mismo hash, lo que permite la comparación con una almacenada previamente en la base de datos.
La conversión de un hash a la contraseña original debería ser imposible, por lo que es más seguro almacenar hashes en lugar de contraseñas de texto sin formato. Sin embargo, existen antiguas funciones de hashing, como el MD5 y el SHA1, que son vulnerables a varias técnicas de crackeo y no deberían ser usadas. Cuando 6,5 millones de contraseñas hash de LinkedIn se filtraron en 2012, los hackers lograron desencriptar un 60% de ellas. Lo mismo puede pasar con estos 117 millones de nuevos hashes, por lo que no se puede considerar que estén a salvo.
Peor aún, es posible que muchos de estos usuarios de LinkedIn que se vieron afectados por la filtración, no hayan cambiado sus contraseñas desde 2012. Hunt ha podido verificar este punto porque al menos un suscriptor de HIBP tenía su contraseña hash y dirección de correo en el nuevo conjunto de datos que ahora ha salido a la venta.
Muchos de los afectados por esta fuga son propensos a utilizar las mismas contraseñas en múltiples sitios de la web, según comentó Hunt. Se ha recomendado a los usuarios de LinkedIn que no hayan cambiado sus contraseñas durante mucho tiempo, que lo hagan lo antes posible. También se recomienda activar la verificación en dos pasos de LinkedIn y si se utiliza la misma contraseña para otros sitios web, también se debería cambiar.
