Alguien encontró más de 180 millones de registros de usuarios en una base de datos en línea desprotegida
Si usa Internet, probablemente haya tenido al menos alguno Falta la información personal. Es solo la naturaleza de la web. Pero este último descubrimiento, según lo informado por Wiredes algo diferente.
Investigador de seguridad Jeremiah Fowler encontró una base de datos pública en línea Vivienda más de 180 millones de registros (184,162,718 para ser exactos) que ascendieron a más de 47 GB de datos. No había indicios sobre quién poseía los datos o quién los colocó allí, lo que Fowler dice que es atípico para este tipo de bases de datos en línea. Fowler vio correos electrónicos, nombres de usuario, contraseñas y URL que vinculan los sitios donde pertenecían esas credenciales. Estas cuentas incluyeron plataformas principales como Microsoft, Facebook, Instagram, Snapchat, Roblox, Apple, Discord, Nintendo, Spotify, Twitter, WordPress, Yahoo y Amazon, así como cuentas bancarias y financieras, compañías de salud y cuentas gubernamentales de al menos 29 países. Eso incluye Estados Unidos, Australia, Canadá, China, India, Israel, Nueva Zelanda, Arabia Saudita y el Reino Unido.
Fowler envió un aviso de divulgación responsable al proveedor de alojamiento de la base de datos, World Host Group. Fowler pudo detectar señales de que las credenciales aquí fueron robadas con malware de Infente de Infentes, que los malos actores usan para cosechar información confidencial de una variedad de plataformas: piense en los navegadores web, los servicios de correo electrónico y las aplicaciones de chat.
Tras el aviso de Fowler, World Host Group restringió la base de datos del acceso público. El proveedor le dijo a Wired que la base de datos fue operada por un cliente, un «usuario fraudulento» que cargó información ilegal al servidor.
Para garantizar que estas credenciales fueran reales, y no solo un montón de datos falsos, Fowler realmente contactó a algunas de las direcciones de correo electrónico que encontró en la base de datos. Obtuvo algunos bocados, y esos usuarios pudieron confirmar los registros que encontró asociados con sus correos electrónicos. Eso no garantiza que todos los registros de 184,162,718 sean precisos, pero es una buena señal de que la mayoría lo son. Como tal, es completamente posible que usted y yo tuvimos credenciales expuestas en esta base de datos. Lo que es peor, Fowler dice que no se sabe cuánto tiempo la base de datos estuvo abierta al público antes de que su aviso lo cerrara.
Hay muchos malos actores y los piratas informáticos pueden hacer con este tipo de información. Si conocen el combo de nombre de usuario y contraseña en una de sus cuentas, no solo verán si pueden usarlo para entrar en esa cuenta, sino que también lo usarán en otras cuentas tuyas. Si reutiliza las contraseñas, como muchos lo hacen, podría estar enfrentando una violación masiva. Es bastante malo cuando eso se refiere a las cuentas de Facebook y Roblox, pero ya que había cuentas financieras, de salud e incluso gubernamentales aquí, las implicaciones son enormes.
Cómo protegerse
Si no tiene acceso a la base de datos, no puede decir con certeza si sus credenciales se enumeran allí o qué credenciales tienen.
¿Qué piensas hasta ahora?
Aún así, si no ha cambiado las contraseñas de sus cuentas en algún tiempo, ahora podría ser un buen momento para hacerlo. No necesita cambiar sus contraseñas Con tanta frecuencia como el consejo de seguridad tradicional nos ha enseñado, pero ciertamente no estaría de más darle a sus cuentas una auditoría de seguridad rápida.
Asegúrese de usar una contraseña fuerte y única para todas y cada una de sus cuentas. Si repite contraseñas, ejecuta el riesgo de relleno de credenciales (los hackers que intentan la misma contraseña robada en múltiples cuentas). Para vigilar esas contraseñas, Utilice un Administrador de contraseñas seguras.
Asegúrese de que esté utilizando autenticación de dos factores (2FA) en todas las cuentas que lo permitan. De esa manera, incluso si se expone una contraseña, los piratas informáticos no podrán entrar en su cuenta sin que el dispositivo contenga el código 2FA. Para aumentar su seguridad, Evite 2FA basado en SMS cuando sea posibley opte por opciones 2FA más seguras, como una aplicación de autenticador o clave de seguridad física. Si su cuenta lo ofrece, Prueba una tecla de pase Para combinar la conveniencia de una contraseña con la seguridad de 2FA.
