1.200 millones de cuentas hackeadas de la Dark Web han estado accesibles para cualquiera

Virus

Un negocio pujante en la Dark Web tiene que ver con la compraventa de datos de cuentas robadas en grandes hackeos producidos en los últimos años en plataformas como LinkedIn, Dropbox, Adobe y más. A través de gente que las ha ido juntando, actualmente hay bases de datos con miles de millones de credenciales o datos personales, y una de esas grandes bases de datos ha estado a disposición de cualquiera.

Un servidor sin protección tenía datos de 1.200 millones de cuentas

Un investigador de seguridad llamado Vinny Troia encontró en octubre en un servidor sin protección un total de 4 TB de información personal con 1.200 millones de registros en total. Entre ellos se incluían datos como nombre, email, número de teléfono y lugares de trabajo, probablemente obtenidos de Facebook, Twitter, LinkedIn o GitHub.

anonimo-dark-web-tor

En total había 50 millones de números de teléfono únicos y 622 millones de emails únicos. Troia afirma que es la primera vez que se encuentra con algo así, ya que aúna perfiles de diversas plataformas en una única base de datos, donde además cada apartado incluía el perfil de la red social de esa persona.

Troia estaba buscando filtraciones de datos en la Dark Web cuando se encontró con el servidor, cuya IP apunta a Google Cloud Services, pero no puede identificar quién fue el que agrupó toda esa información. Tampoco puede saber si alguien más había tenido acceso a ese servidor para bajar la información, pero afirma que el servidor era fácil de encontrar y de acceder. Por ello, Troia reportó la presencia del servidor al FBI, y en cuestión de horas, el servidor dejó de estar operativo.

People Data Labs y Oxydata: los probables orígenes de los datos filtrados

Los datos provenían de cuatro bases de datos en total, donde tres de ellas venían supuestamente de una empresa de San Francisco llamada People Data Labs, en cuya web afirman que tienen datos de 1.500 millones de personas a la venta, incluyendo a 260 millones de Estados Unidos. También afirman:

  • Más de 1.000 millones de URL de direcciones de email
  • Más de 1.000 millones de URL de perfiles de Facebook
  • Más de 420 millones de URL de perfiles de LinkedIn
  • Más de 400 millones de números de teléfono (la mitad de Estados Unidos)

A pesar de que las cifras coinciden con lo encontrado, la empresa afirma que el servidor en el que se encontraron los datos no era de ellos, sino que puede que fuera uno de sus clientes que además recopiló datos de otras empresas. Es el usuario el responsable de mantener esos datos seguros, y no de la empresa que se los vende.

La cuarta base de datos proveine de Oxydata, una empresa que afirma tener 4 TB de datos, incluyendo 380 millones de perfiles de usuarios y empresas de 195 países de todo el mundo. Ellos también niegan haber sido hackeados.

Los datos ya están en la web de HaveIBeenPwned, gestionada por Troy Hunt, quien ha afirmado que sus propios datos personales están en esa base de datos. Por ello, podéis introducir vuestro correo para ver si está entre los 622 millones que aparecen en la base de datos filtrada.

Escrito por Alberto García

Fuente > Wired

Continúa leyendo
  • DaarK

    Segun la web esa que habeis puesto, mi correo esta en la lista, que debo hacer ahora?, porque lo unico que te dicen de hacer es descargarse su magica aplicacion, vamos una estafa.

    • Luis

      Cambiar contraseña y no publicar tu vida en internet

      • Exactamente, no poner nada de tu vida, me hace gracia esa gente que se queja de su seguridad y privacidad, que roban datos que no se que y no se cuantos y el robo de fotos pero luego ves que tienen el instagram publico con todos sus datos…

        Una vez un tio me salio poniendo todos mis datos a la vista y me decía que era un hacker profesional y podía joderme la vida, al final no fue un hacker ni de coña, ni sabia de ordenadores, solo busco mi ID y salio la página de Google+ y al parecer Google+ decidió que era buena idea poner mis datos privados a la vista publica.

        Yo con mi ID pongo muchas cosas y tengo una reputación entre mala y buena, a veces se me va la pinza con los comentarios, el caso es que por mi nombre no aparece nada de nada así que si una empresa busca no le saldrá nada y como el ID que uso es usado por bastante gente en España pues ya sabrás si soy o no soy.

    • Nada, no puedes hacer nada, la única solución es usar otro mail pero acabara igualmente en estas webs así que olvídalo, ahora como dice Luis si que lo que puedes hacer es cambiar la contraseña a una segura. El inicio en dos pasos puede ayudar siempre y cuando no seas de esos que instalan cualquier cosa en el smartphone ya que hay apps que pueden robar datos y credenciales.

      Mi correo aparece en 8 sitios de robo de datos y créeme que no desperdician ni un segundo en intentar acceder al mail. Para ser exacto en cuanto una de mis contraseñas se filtra me atacan con un mail cuyo titulo es la contraseña hackeada y me piden dinero a cambio de no publicar un vídeo donde se muestra mi escritorio y Webcam grabándome a mi mientras me fapeo, pero es falso evidentemente, pero la contraseña está ahi, así que toca cambiar por otra segura y luego hay las apps del móvil, me puse un juego de estos que sale publicidad por doquier en cualquier app o juego y al final logro acceder al inicio en dos pasos de mail y me cambiaron la contraseña, por suerte Outlook manda un correo de confirmación y espera de 48 horas así que inmediatamente cambie la contraseña y notifique que no fui yo el que hice el cambio, busque información de todas las apps que tengo y encontré el dichoso juego problemático, el de aviones que vas fusionando, la curiosidad de probar y mira lo que paso, no suelo instalar juegos de esta clase pero… por una vez que lo pruebo ya ves…

      Un amigo me paso un JavaScript (HTML) para verificar seguridad de contraseña, las que uso ahora me salen con una seguridad muy baja mientras que las que me lograron hackear me salían con una seguridad del 100%, también es que en mi caso fue por motivos de seguridad de servidores, por un lado Taringa que olvide que tenia cuenta, Facebook y su no cifrado, Google con su Gmail y el último Hostinguer. Por eso es bueno no tener la misma pass en todos los sitios.

      Aparte, esa web que chekea contraseñas y mails ¿quien no te dice que al poner tu mail y contraseña te obtiene los datos? eh? Yo no me fio de esa web POWNED.

  • Luis

    Em problema ea publicar tu vida en internet. El mal de las redes sociales