Encuentran servidor pirata que almacena 2 millones de contraseñas robadas



Los investigadores han descubierto un servidor con más de dos millones de credenciales de acceso robadas para todo tipo de cuentas de usuario, incluidas las de Facebook, Yahoo, Google, Twitter, y de un puñado de otros sitios Web.

Más de 1,5 millones son nombres de usuario y contraseñas que son utlizados para el acceso de sitios web, incluyendo 318.121 en Facebook, 59.549 de Yahoo, 54.437 para Google, y 21.708 para Twitter, de acuerdo con una entrada publicada en el blog el día martes por los investigadores de los laboratorios de la empresa de seguridad Trustwave's Spider Labs. También se incluyó credenciales para direcciones de correo electrónico, cuentas FTP, escritorios remotos, y secure shells.

Más de 1,8 millones de las contraseñas, o el 97 por ciento del total, parecía provenir de ordenadores situados en los Países Bajos, seguido por Tailandia, Alemania, Singapur e Indonesia. Las cuentas estadounidenses comprendieron el 0,1 por ciento, con 1.943 contraseñas comprometidas. En total, los datos pueden haber venido de un máximo de 102 países.

"Un rápido vistazo a las estadísticas de geo-ubicación haría pensar que este ataque fue un ataque dirigido hacia los Países Bajos," mencionaron los investigadores Daniel Chechik y Anat (Fox) Davidi de Trustwave's Spider Labs. Diciendo, además que:

Al abrir y mirar sobre los archivos log IP se reveló que la mayoría de las entradas del rango de las IP y de las NL es en realidad una única dirección IP que parece haber funcionado como una puerta de enlace o proxy inverso entre las máquinas infectadas y el servidor de comando y control, que reside también en los Países Bajos. Esta técnica de utilizar un proxy inverso es usada por los atacantes para evitar que el servidor de comando y Control pueda ser descubierto y cerrado — El tráfico saliente desde una máquina infectada sólo muestra una conexión con el servidor proxy, que es fácilmente reemplazable en caso de que se derribe. Mientras que este comportamiento es interesante de por sí, nos impiden aprender más acerca de los países que fueron seleccionados para este ataque, si es que fue así.

El servidor ejecuta una aplicación bot controlador conocido como Pony. No está claro exactamente cómo las credenciales fueron originalmente obtenidas. Una de las posibilidades que se asume es que fueron capturados mediante keyloggers o malware similar instalados en máquinas comprometidas de los usuarios finales. También podría ser el caso que las credenciales fueron sisadas usando sitios web de phishing u otros tipos de ataques de ingeniería social.

Como ocurre a menudo con fugas de contraseña masivas, el descubrimiento de Spider Labs subraya que es debido además a la poca "higiene" sobre seguridad de muchos usuarios. Los delincuentes siempre la tuvieron fácil con contraseñas debiles, incluyendo a las ya conocidas "123456" (utilizado por 15.820 cuentas), "123456789" (utilizado por 4.875 cuentas),"1234"(utilizados por 3.135 cuentas) y por "contraseña"(utilizado por 2.212 cuentas). En general, Spider Labs ha clasificado a seis por ciento de contraseñas como "terrible", 28 por ciento como "mal", el 44 por ciento de "medio", 17% como "buena" y sólo el cinco por ciento como "excelente".

El Informe de Spider Labs llega dos semanas después de que el creador de software para foros vBulletin fuera golpeado por hackers que obtuvieron el acceso a los datos y de las contraseñas de los clientes entre otras informaciónes personales . Tres días antes, MacRumors mencionó - si uno de los usuarios de vBulletin- que también sufrió una intrusión que expuso las contraseñas encriptadas con algoritmos hash de más de 860.000 cuentas . No hay evidencia de que esas violaciones estén relacionadas con las contraseñas filtradas reportadas el día martes.

La imagen es cortesía de practicatowl.



Fuente: ArsTechnica