Casi 800 millones de cuentas de correo hackeadas ¿cómo saber si has sido hackead

Iniciado por El_Andaluz, 18 Enero 2019, 15:42 PM

0 Miembros y 2 Visitantes están viendo este tema.

#!drvy

La web haveibeenpwned es totalmente fiable y se lleva acabo por una persona más que respetable en este mundo, Troy Hunt.

Dicho esto, el servicio se dedica a recopilar y ("verificar") leaks con correos y contraseñas que se sueltan por ahí o que le son enviadas de manera anónima. Una vez se verifica, se publica. Cuando buscas tu correo, también te dice donde ha sido publicado (a que leak/breach) pertenece en la sección "Breaches you were pwned in".

También tiene aviso por correo (que te avisa de inmediato si reciben un leak con tu correo), una API y recientemente, empezaron a hashear las contraseñas que se encontraban para ofrecer un servicio que te dice si tu contraseña esta en una base de datos.

https://haveibeenpwned.com/Passwords

Si no os fiáis, os podéis descargar el torrent con los hashes (más abajo en la misma página) y comprobarlos vosotros mismos.





Cita de: El_Andaluz en 18 Enero 2019, 17:46 PMA mi me sale esto cuando meto mi correo no entiendo bien si fue hackeada o no.

Te dice que esta en 2 breaches, es decir, si, ha sido "hackeada".


CitarTienen caso 800 millones de cuentas, pero tan sólo 21 millones de contraseñas únicas.
Aunque el número de contraseñas filtradas es bastante grande, no quiere decir que tengan el password de tu cuenta.
No está de más cambiar la contraseña, pero tampoco hay que alarmarse pues lo serio sería un filtrado de la DB de gmail, outlook, etc.

Eso quiere decir que el resto de las contraseñas son repetidas. En su momento ya hubo un filtrado de correos gmail con contraseñas totalmente validas.





PD: Este servicio es lo más cercano a confiable que vais a obtener para este tipo de cosas, tanto es así que Mozilla esta trabajando con ellos para proporcionar su propio servicio parecido:

https://thenextweb.com/security/2018/09/25/mozilla-launches-firefox-monitor-its-have-i-been-pwned-clone/

Saludos

Serapis

Gracias drvy por la info...

Sin embargo yo prefiero mejor esto que comentas:
CitarSi no os fiáis, os podéis descargar el torrent con los hashes (más abajo en la misma página) y comprobarlos vosotros mismos.

Más que por desconfianza, por sistema. Considero que la seguridad es algo que debe imponerse-mantenerse de forma sistemática, no por confianza...

Mañana que saque un tiempito, miro de ponerlo a descargar.

El_Andaluz

CitarTe dice que esta en 2 breaches, es decir, si, ha sido "hackeada".

Vale, dice según esa pagina que mi cuenta ha sido hackeada pero en donde quiero saber y porque no sale la contraseña para comprobar que he sido supuestamente hackeada mi cuenta.

Mi cuenta esta hecha en outlook. Y redes sociales tengo mas bien pocas.

#!drvy

CitarVale, dice según esa pagina que mi cuenta ha sido hackeada pero en donde quiero saber y porque no sale la contraseña para comprobar que he sido supuestamente hackeada mi cuenta.

Te lo dice más abajo, en la sección: Breaches you were pwned in. Si es el mismo correo que has usado para registrarte en el foro, aparece en: The Collection #1 (la de esta noticia) y en Exploit.In (una colección del 2016).

Obviamente no te sale la contraseña porque sino cualquiera con tu correo va lo mira, la pilla y se mete. Como he mencionado más arriba también tienen un servicio en el que pones tu contraseña y te dicen si la tienen en la BD o te puedes descargar las contraseñas hasheadas y lo compruebas tu mismo.


Saludos

El_Andaluz

CitarTe lo dice más abajo, en la sección: Breaches you were pwned in. Si es el mismo correo que has usado para registrarte en el foro, aparece en: The Collection #1 (la de esta noticia) y en Exploit.In (una colección del 2016)

Si es el mismo correo que utilice aquí y que es the collection #1 y Exploit.in tengo ni idea de que es eso.

CitarObviamente no te sale la contraseña porque sino cualquiera con tu correo va lo mira, la pilla y se mete. Como he mencionado más arriba también tienen un servicio en el que pones tu contraseña y te dicen si la tienen en la BD o te puedes descargar las contraseñas hasheadas y lo compruebas tu mismo.


Te refieres a esta pagina que tu pusiste el enlace verdad: https://haveibeenpwned.com/Passwords

Acabo de comprobar metiendo unas de mis contraseñas dado que tengo varias diferente para cada sitio pero con el mismo correo.

Y me dice esto:

Citar¡Buenas noticias! No Pwnage encontrado!
Esta contraseña no se encontró en ninguna de las contraseñas Pwned cargadas en Have I Been Pwned. Eso no significa necesariamente que sea una buena contraseña, simplemente que no está indexada en este sitio. Si aún no está utilizando un administrador de contraseñas, vaya y descargue 1Password y cambie todas sus contraseñas para que sean seguras y únicas
.

Quiere decir que mi contraseña no esta hackeada en ningún lado de momento en otras redes sociales que es segura.


Pero he metido para comprobar mi contraseña con la cuenta que entro aquí en el foro y pone que ha sido vista 8 veces, vista quiere decir que vosotros mismo sabéis mi contraseñas cabrones me refiero a los moderadores y coadmin. :xD

CitarOh no - pwned!
Esta contraseña ha sido vista 8 veces antes
Esta contraseña ha aparecido previamente en una violación de datos y nunca debe usarse. Si alguna vez lo has usado en alguna parte antes, ¡cámbialo!


Y bueno el articulo que yo he compartido hay no viene para comprobar nuestras contraseñas un listado no entiendo bien eso.

Serapis

El_Andaluz... entras a la dirección que proporciona Drvy (la de las contraseñas), deslizando hacia arriba la página (es decir casi abajo del todo, verás como en la captura que acabo de hacer y se ve en la siguiente imagen)...

Si tienes torrent instalado, te lo bajas via torrent, si no pulsa donde pone cloudflare (el botón bajo el botón de torrent) y la descarga se inicia...
- Nota: Que el mismo contenido está disponible en 4 descargas distintas, donde cada 2 están ordenada de diferente manera, descarga aquella que te parezca más util a la herramienta que vayas a usar para manejar el fichero.
- Nota: cuando se descargue, verifica que el fichero tiene el mismo hash que ahí señala, para asegurarte que se ha bajado correctamente y no está corrupto. Para ello necesitas algún programa que calcule el hash pertinente...
- Nota: que es un fichero de entre 7'85 y 11Gb. (comprimido en 7zip con lo que el fichero final será mucho mayor (el texto plano 'humano' se comprime a buen ratio)), así que espacio en disco y paciencia te son necesarios... dicho fichero será el que contiene todas las contraseñas (yo aún estoy descargándolo).

No se te ocurra abrir el fichero con ningún programa que se empeñe en cargar el contenido completo en memoria, agotará la memoria de tu equipo, amén del tiempo perdido en darle formato y la presentación, usa un programa que lo localice leyendo el fichero (pongamos en tandas de 1Mb. y busque ahí, si no lo encuentra lea otro Mb, etc...) y que ni siquiere haga una presentación física del contenido leído. Basta que te diga que lo ha encontrado en la posición 'tal' y a lo sumo presentarte un tramo donde se ha encontrado...


El_Andaluz

NEBIRE
CitarEl_Andaluz... entras a la dirección que proporciona Drvy (la de las contraseñas), deslizando hacia arriba la página (es decir casi abajo del todo, verás como en la captura que acabo de hacer y se ve en la siguiente imagen)...

Si tienes torrent instalado, te lo bajas via torrent, si no pulsa donde pone cloudflare (el botón bajo el botón de torrent) y la descarga se inicia...
- Nota: Que el mismo contenido está disponible en 4 descargas distintas, donde cada 2 están ordenada de diferente manera, descarga aquella que te parezca más util a la herramienta que vayas a usar para manejar el fichero.
- Nota: cuando se descargue, verifica que el fichero tiene el mismo hash que ahí señala, para asegurarte que se ha bajado correctamente y no está corrupto. Para ello necesitas algún programa que calcule el hash pertinente...
- Nota: que es un fichero de entre 7'85 y 11Gb. (comprimido en 7zip con lo que el fichero final será mucho mayor (el texto plano 'humano' se comprime a buen ratio)), así que espacio en disco y paciencia te son necesarios... dicho fichero será el que contiene todas las contraseñas (yo aún estoy descargándolo).

No se te ocurra abrir el fichero con ningún programa que se empeñe en cargar el contenido completo en memoria, agotará la memoria de tu equipo, amén del tiempo perdido en darle formato y la presentación, usa un programa que lo localice leyendo el fichero (pongamos en tandas de 1Mb. y busque ahí, si no lo encuentra lea otro Mb, etc...) y que ni siquiere haga una presentación física del contenido leído. Basta que te diga que lo ha encontrado en la posición 'tal' y a lo sumo presentarte un tramo donde se ha encontrado...

Buenas NEBIRE si lo he visto cuando entre en la pagina, veo que pesan mucho que tengo que descargar los 4 archivos que vienen hay para ir comprobando ? :huh: Ya me estoy descargando el primero el de 11.0GB me lo estoy descargando por Cloudfare y tarda unas 6 horas tarda un huevo, el μTorrent no lo tengo instalado pero puedo descargarmelo a través del Ares lo que pasa que no se si tardará mas o menos igual que por el Cloudfare.

Ahora estoy probando mejor descargarmelo a través del Ares pero la velocidad va ahora a unas 536, 90kb/Seg unas 5 horas me tarda mas o menos pero tiene bajada y subida de velocidad, lo mismo me puede tardar mas o menos.

Una vez me descargue el fichero con que programa exactamente se hace para ir comprobando si esta mi contraseña o lo tengo que hacer a ojo supongo, nunca lo hecho si me puedes explicar.

Y otra cosa para verificar el hash sabes o sabéis alguna pagina online gratuita ? He estado mirando y dado que estos archivos pesan mucho no me lo va a permitir subirlo.

Gracia por explicarme. ;)









Serapis

Si, la velocidad de descarga depende de tu conexión, a mi me tardó 1:30 horas... yo descargué el segundo, que ya lo trae ordenado alfabéticamente.

He visto que luego al descomprimirlo ocupa 24Gb. así que necesitarás bastante espacio.

Sobre el hash, pués mira una buena opción es proporcionar el mismo enlace de descarga a Virustotal.com (mejor que proporcionar la ruta del fichero a tu equipo, así te evitas el tiempo de subida, y la velocidad será una 'pelea' entre la velocidad de descarga de dicha página y la de subida de virustotal.com (que se supone que será mejor que la velocidad de subida de tu conexión... en usuarios domésticos, la velocidad de subida siempre es mucho menor que la de bajada).
mmm.... No es que queramos verificar el fichero en busca de virus con virus total, es que virustotal hashea el fichero que se sube proporcionando además muchos hashes distintos (en realidad para un fichero tan grande sería un inconveniente, porque tardaría excesivo tiempo).

...aunque ahora que lo pienso, me parece que virustotal limita el tamaño máximo del fichero que se puede subir y a buen seguro que es un valor muchísimo menor que esa cantidad de GB.
Probablemente suceda lo mismo con muchos otros sites en línea que pudean tener un sistema de hasheado (suelen estar pensados para texto o pequeños ficheros (como mucho pocos megabytes)).

Pero no te preocupes... finalmente, se puede partir de la suposición de que se descargó bien. Porque cuando un fichero está comprimido, el mero hecho de poder descomprimirlo implica que no está corrupto por daños (al comprimir se suele (si no se omite), llevar cierto control sobre la corrupción, generando un hash interno de menor nivel (sería muy lento el proceso de compresión con métodos más exhaustivos), pero que suele ser suficiente para descubrir si está dañado e incluso recuperar partes dañadas... Es decir al descomprimirlo sin error podrmeos asumir que no está corrupto, pero no que alguien hubiera enlazado a otro fichero distinto que estando correcto, no sea el original... pero vamos este supuesto es harto improbable, y más para un fichero tan grande, así podemos asumir con solo la descompresión que es correcto, que no está corrupto (pero ojo, para ficheros muy manejables, es bueno comprobar el hash, cuando más pequeño sea un fichero más fácil de ser remplazado incluso en tiempo real).

Eso sí, yo te hubiera recomendado que mejor descargaras una versión que ya esté ordenada (el segundo), porque así puede hacerse una búsqueda binaria sobre el fichero, sino exigirá si o si, una búsqueda secuencial lo que fuerza a leer teóricamente el fichero completo (teóricamente quiere decir que si aparece, se leerá solo hasta encontrarse en el punto donde se localice, pero si no aparece, se acabrá leyendo el fichero completo).

Con una búsqueda binaria basta buscar 35 veces sobre el fichero... como no sabemos el largo de cada contraseña en el fichero, puede leerse de cada vez, asumiendo que la contraseña más larga es de 64 carácteres, así aseguramos que con cada lectura  al menos se lee una contraseña, tomando la mitad antes del punto y la otra mitad tras el punto de búsqueda. Al ser binaria, primero se busca en el centro del fichero, si la hallada es mayor o menor que la buscada deriva a la mitad superior o inferior, con lo que en 35 tandas habremos encontrado si existe o no.
Primero eso si habrá que leer un poco del fichero para determnar de qué forma está separada una de otra, para aislar una contraseña completa de la lectura y así poder hacer las comparaciones pertienentes...

#!drvy

Cabe recordar que las contraseñas per se están hasheadas, no son en texto plano, el hash, si habéis descargado algunos de los primeros dos archivos, es un SHA1 y asumo que en formato HEX por lo tanto tiene una longitud fija de 40 caracters.


Para verificar el hash del archivo (integridad) el mismo 7-zip (que se usó para comprimir el archivo también) te permite hacerlo. Además, sin ir muy lejos, el propio Windows ya trae varias herramientas que te sirven,por ejemplo, CertUtil.

CMD
Código (bash) [Seleccionar]
certutil -hashfile archivo.7z SHA1

Saludos

Serapis

Gracias Drvy... Desconocía tal característica de 7zip, no lo uso mucho y por ello no he profundizado en él.

Yo uso la librería "capicom", pero como lo tengo en un XP (además certutil creo que no viene con winXP), tengo que recrear el programita que suelo usar (para calcuar hashes) en NET, para operar con un archivo de este tamaño... el fin de semana que encuentra nas horas libres, seguramente me ponga con él.