Hace un mes el portal Taringa avisaba a sus usuarios que sus servidores se habían visto comprometidos, y con ellos la base de datos y el código fuente de la página. Ahora, LeakBase ha tenido acceso a los datos robados, entre los que se encuentran emails, nombres de usuario y hashes md5 de 28.722.877 usuarios.
Taringa se encuentra entre los portales más importantes de habla hispana, ocupando según Alexa el puesto número 12 de sitios más visitados de Argentina (su país de origen).
Al momento de escribir estas líneas, LeakBase ya ha obtenido el 93.79% de las contraseñas (casi 27 millones), y tras contactar el portal PentestingExperts con algunos de los afectados por email, se ha podido dar validez a la filtración. A la gravedad del asunto, hay que sumarle que las claves estén almacenadas con forma hash md5, el cual se considera inseguro desde 2012.
Cabe recordar, que es insuficiente proteger las claves usando una función hash como md5, debiéndose utilizar medidas adicionales como las que añade Bcrypt, como un salt. Si no, nos estaremos arriesgando a que las claves sean fácilmente derivables, o incluso a poder encontrarlas en bases de datos de hashes.
De las claves obtenidas y por la información facilitada por LeakBase, podemos concluir:
- Cerca de la mitad han sido utilizadas por más de una persona (15.320.524 claves únicas).
- La clave 123456789 es la más utilizada con diferencia (casi el doble que la segunda más utilizada, 123456)
- Las longitudes más populares son 6 (29.82%) y 8 (20.2%).
- El 44.98% utiliza minúsculas y números, el 29.89% sólo minúsculas, y el 16.81% sólo números.
- Destacar también, que la tercera clave más usada fue el propio nombre del sitio, y que el 0.37% de las contraseñas contenían la palabra taringa.
Taringa entre las medidas adoptadas ya está avisando a sus clientes por email, y está obligando a reestablecer las claves a los usuarios afectados (que son, todos). No obstante, si tenéis cuenta en Taringa, y utilizáis la misma clave en otros sitios, os recomendamos cambiarla inmediatamente.
Juan José Oyague
joyague@hispasec.com
Deja una respuesta