2.7 mil millones de direcciones de correo electrónico expuestas en línea, más de mil millones de ellas incluyen contraseñas

Una enorme base de datos de más de 2.700 millones de direcciones de correo electrónico quedó expuesta en la web, accesible a cualquier persona con un navegador web. Más de mil millones de esos registros también contenían una contraseña de texto sin formato asociada con la dirección de correo electrónico.

Comparitech colaboró ​​con el investigador de seguridad Bob Diachenko para descubrir la base de datos el 4 de diciembre de 2019. Aunque el propietario de la base de datos no fue identificado, Diachenko alertó inmediatamente al ISP de EE. UU. que alojaba la dirección IP para que la eliminara.

La gran mayoría de los correos electrónicos procedían de dominios chinos, incluidos qq.com, 139.com, 126.com, gfan.com y game.sohu.com. Esos dominios pertenecen a algunas de las empresas de Internet más grandes de China, incluidas Tencent, Sina, Sohu y NetEase.

Algunas direcciones de correo electrónico tenían dominios de Yahoo y Gmail, así como algunas rusas como rambler.ru y mail.ru.

Tras la verificación, llegamos a la conclusión de que todos los correos electrónicos con contraseñas se originaron en la llamada 'Gran filtración asiática', primero descubierto por HackRead . En enero de 2017, un proveedor de la web oscura vendía registros que incluían contraseñas.

Cronología de la filtración

Comparitech inmediatamente tomó medidas para eliminar la base de datos al descubrirla con el fin de mitigar el daño a los usuarios finales, pero no sabemos si alguien accedió a ella mientras tanto. Esto es lo que sabemos:

• 1 de diciembre de 2019: la base de datos fue indexada por primera vez por el motor de búsqueda BinaryEdge y desde entonces estuvo disponible públicamente.
• 4 de diciembre de 2019: Diachenko descubrió la base de datos e inmediatamente tomó medidas para notificar a los responsables.
• 9 de diciembre de 2019: Se deshabilitó el acceso a la base de datos.

En total, los datos estuvieron expuestos durante más de una semana, lo que dio a los malintencionados tiempo suficiente para encontrarlos y copiarlos para sus propios fines.

La base de datos parecía actualizarse y crecer en tiempo real. El número de cuentas aumentó de 2.600 a 2.700 millones entre el momento en que enviamos la notificación y el momento en que se eliminó la base de datos.

¿Qué información fue expuesta?

Los 1,5 TB de datos contenían la asombrosa cifra de 2.700 millones de registros. Más de mil millones de ellos incluían contraseñas.

Debido a que muchos chinos tienen dificultades para leer los caracteres en inglés, a menudo utilizan sus números de teléfono u otros identificadores numéricos como nombres de usuario. Por lo tanto, podemos asumir que muchas de estas direcciones de correo electrónico también contienen números de teléfono.

Además de las direcciones de correo electrónico y las contraseñas, los registros contenían hashes MD5, SHA1 y SHA256 de cada dirección de correo electrónico. Los hashes son texto cifrado (la dirección de correo electrónico, en este caso) con una longitud fija. A menudo se utilizan para almacenar datos de forma segura en escenarios en los que sería demasiado peligroso almacenar datos en texto sin formato. Su inclusión en esta base de datos no tiene un propósito obvio, pero podrían usarse para facilitar las búsquedas en bases de datos relacionales.

Peligros de los datos expuestos

Es probable que una base de datos como esta se utilice para relleno de credenciales . El relleno de credenciales es un ataque que intenta iniciar sesión en varias cuentas en línea con combinaciones conocidas de correo electrónico y contraseña. Los piratas informáticos se aprovechan del hecho de que muchas personas utilizan el mismo correo electrónico y contraseña en varias cuentas. Utilizan un sistema automatizado para intentar iniciar sesión en varios sitios utilizando las credenciales almacenadas en la base de datos.

Una vez que los piratas informáticos obtienen acceso a una cuenta, pueden secuestrarla cambiando la contraseña y el correo electrónico asociado. Luego se puede utilizar para una amplia variedad de propósitos, incluidos spam, phishing, fraude, robo y más.

Los usuarios afectados deben cambiar inmediatamente las contraseñas de sus cuentas de correo electrónico, así como cualquier otra cuenta que comparta la misma contraseña.

¿Qué es la “gran filtración de datos asiática”?

En enero de 2017, HackRead informó que un proveedor de la web oscura estaba vendiendo mil millones de cuentas de usuario robadas a los gigantes chinos de Internet. El informe menciona que se vendieron más de 60 copias de los datos al momento de escribir este artículo por alrededor de $615 cada una en Bitcoin.

La mayoría, pero no todos, los registros contenían direcciones de correo electrónico de dominios chinos:

• Netease: alrededor de 322 millones de registros de dominios propiedad de Netease, incluidos 126.com, 163.com, 163.net y Yeah.net.
• Tencent: Alrededor de 130 millones de correos electrónicos contenían el dominio qq.com. La empresa propietaria de WeChat también es propietaria de QQ, una de las plataformas de mensajería instantánea más populares de China.
• Sina: 31 millones de registros incluyen el dominio sina.com, que pertenece a la empresa que opera la red social china similar a Twitter, Sina Weibo.
• Sohu: 23 millones de registros contenían dominios sohu.com. Sohu opera una amplia gama de servicios en línea que incluyen un motor de búsqueda, publicidad y juegos en línea.

Otros propietarios de dominios notables cuyos usuarios se ven afectados por la filtración incluyen: TOM Online (tom.com), Eyou (eyou.com), SK Communications (nate.com), Google (gmail.com), Yahoo (yahoo.com), y Hotmail (hotmail.com).

El proveedor, DoubleFlag, es bien conocido por vender datos filtrados de alto perfil. Las muescas en su cinturón incluyen Epic Games, uTorrent Forum, BitcoinTalk.org, Yandex.ru, Mail.ru, Dropbox, Brazzers y Experian.

Cómo y por qué descubrimos esta filtración

Comparitech se asocia con el experto en seguridad Bob Diachenko para escanear Internet y descubrir bases de datos que han quedado expuestas al público. Cuando encontramos uno, inmediatamente tomamos medidas para notificar a las partes responsables para que lo cierren o eliminen el acceso.

Diachenko aprovecha sus muchos años de experiencia en ciberseguridad para encontrar y analizar estas filtraciones. Hace todo lo posible por identificar quién es el responsable de los datos para poder protegerlos.

Luego investigamos los datos expuestos para descubrir de quién fueron los datos personales filtrados, qué contenían, durante cuánto tiempo estuvieron expuestos y qué amenazas podrían enfrentar las víctimas. Recopilamos nuestros hallazgos en un informe como este para crear conciencia entre los afectados. Nuestra esperanza es limitar el acceso y el uso indebido de datos personales por parte de partes malintencionadas.

Informes anteriores

Esta es la mayor exposición de datos que Comparitech ha descubierto hasta la fecha. Algunos de nuestros otros informes incluyen:

• Registros personales detallados de 188 millones de personas encontrados expuestos en la web
• 7 millones de expedientes estudiantiles expuestos por K12.com
• 5 millones de registros personales pertenecientes a MedicareSupplement.com expuestos al público
• 2,8 millones de registros de clientes de CenturyLink expuestos
• Se filtraron 700.000 registros de clientes de Choice Hotels