"2 mil millones de direcciones de correo electrónico" parece exagerado, pero no lo es. Se redondea a partir del número más preciso de 1.957.476.021 direcciones de correo electrónico únicas, pero aparte de eso, es exactamente lo que parece. Ah, y hay 1.300 millones de contraseñas únicas, 625 millones de las cuales nunca habían aparecido. Es el conjunto de datos más extenso procesado por Troy Hunt y por HaveIBeenPwn, por un margen significativo.
Los datos de registro de los programas maliciosos se obtienen mediante malware que se ejecuta en máquinas infectadas (info-stealers). En cambio, las listas de relleno de credenciales (credential stuffing) suelen provenir de otras filtraciones de datos donde se exponen direcciones de correo electrónico y contraseñas. Luego se recopilan, se venden, se redistribuyen y, finalmente, se utilizan para acceder a las cuentas de las víctimas.
Y no solo a las cuentas de las que se filtraron inicialmente, ya que, al reutilizar las contraseñas repetidamente, los datos de una filtración suelen ser útiles en sitios web completamente distintos. Una filtración en un foro de comentarios sobre gatos a menudo expone datos que pueden usarse para acceder a las cuentas de compras, redes sociales e incluso correo electrónico de la víctima. En ese sentido, los datos de relleno de credenciales se convierten en la llave maestra.
Verificación de datos
Troy Hunt verificó los datos con su propio email , una dirección de correo electrónico antigua de los 90 que ya había aparecido en listas de robo de credenciales anterior. Además, encontró una contraseña asociada a esa dirección, que sin duda usó hace muchísimo tiempo, y era tan mala como cabría esperar de aquella época.
Sin embargo, ninguna de las demás contraseñas asociadas a su dirección de correo le resultaba familiar. Pasando a los suscriptores de HIBP, contactó con algunas personas que nunca habían estado involucrados en ninguna filtración de datos. Las respuestas fueran muy variadas pero en resumen había contraseñas reales, contraseñas creadas y nunca utilizadas y contraseñas que se habían utilizado hace años en cuentas activas.
Las nuevas contraseñas se cargron en el servicio Pwned Passwords. Al hacerlo, no existe ninguna asociación entre la contraseña y la dirección de correo electrónico asociada. Utilizar este servicio es fácil, anónimo y, según tus conocimientos técnicos, puedes hacerlo de varias maneras:
- Usa la página de búsqueda de Pwned Passwords. Las contraseñas están protegidas con un modelo de anonimato, por lo que nunca las vemos (se procesan en el propio navegador), pero si tienes dudas, comprueba las antiguas que te parezcan sospechosas.
- Usa la API de k-anonymity. Esta es la que impulsa la página del punto anterior, y si sabes programar, es una forma sencilla que te da total seguridad en cuanto al anonimato.
- Usa Watchtower de 1Password. El gestor de contraseñas incluye un comprobador integrado que utiliza la API mencionada y puede verificar todas las contraseñas de tu bóveda.
Aspectos técnicos curiosos de esa cantidad de datos
Este conjunto de datos es casi tres veces mayor que el de la mayor filtración anterior que se había cargado. Gestionar los matices de los índices de SQL Server para optimizar tanto las inserciones como las consultas no es precisamente divertido, y se tuvo usar la nube al máximo, alcanzando un máximo de 80 núcleos durante casi dos semanas.
Notificar a los suscriptores es otro problema. Enviar 2,9 millones de correos es complicado para evitar terminar en una lista negra por mala reputación o que el servidor receptor limite el envío de correos.
Fuente: TroyHunt