01 junio, 2015

Pornoleaks - Reutilización de Nick, emails corporativos y otras cosas del cibervivir

A mediados de Mayo (aproximadamente 13 de Mayo) se filtró parte de la base de datos de la web de contactos sexuales AdultFriendFinder.com, que se estaba vendiendo en el mercado negro por 70 BTC (aproximadamente 17.000$), que contenía alrededor de 5 millones de correos electrónicos (yo he contado 5.384.527), nombres de usuario (he contado 5.058.654) y, en menor cuantía, gran cantidad de información relativa al las preferencias sexuales del usuario registrado, raza, localización geográfica, IP desde la que se conecta, etc.
Por si ya fuera poco con que la información privada de este calibre se hiciera pública, en algunas webs de seguridad ya se les acusó de tardar demasiado en reacionar y notificar a los usuarios afectados, dejándolos expuestos a posibles chantajes de extorsionadores dispuestos a revelar sus preferencias sexuales o relaciones esporádicas a personas que no les gustaría que fueran informadas de ello.

La web ya informa a sus usuarios de este incidente y según notifican está siendo investigado por Mandiant. Lo que me parece curioso es que la página de "Security Updates" solo tenga 1 actualización en todos sus años de vida.

  Algo llamativo de los correos filtrados son los dominios con los que los usuarios se registran. En la mayoría de los casos son gmail, hotmail, yahoo y demás dominios que proveen de servicios de correo gratuitos.

  En otros casos más curiosos se trata de dominios de empresas, es decir, que los usuarios se registran con la dirección de correo del trabajo... Emm... No sé cómo decir esto... Emm... Creo que es bastante estúpido... Ya está, lo he dicho. No solo un posible extorsionador podría contactar con tus contactos personales, sino también podría realizarte chantajes en el que te forzara a dar información sensible de tu empresa. Para ponerte en un aprieto, bastaría coger el listado de empresas más importantes de España (por ponernos patrios y tal) y hacer una búsqueda con grep para ver si hay alguna empresa en la que un extorsionador pueda tener un aliado involuntario:


  Por otro lado, algunos TLD encontrados en el leak también muy interesantes son aquellos asignados a entidades gubernamentales, militares o universidades:

user@host:~/leaks/AdultFriendFinder/domains$ awk 'BEGIN {sum=0} {if ($2 ~ /\.edu$/) {sum+=$1}} END { print sum}' domains.freq.txt
10924
 
user@host:~/leaks/AdultFriendFinder/domains$ awk 'BEGIN {sum=0} {if ($2 ~ /\.mil$/) {sum+=$1}} END { print sum}' domains.freq.txt
2240
 
user@host:~/leaks/AdultFriendFinder/domains$ awk 'BEGIN {sum=0} {if ($2 ~ /\.gov$/) {sum+=$1}} END { print sum}' domains.freq.txt
74
  Un usuario registrado poco concienciado de su privacidad pensaría que no tiene demasiado de qué preocuparse, pues las contraseñas no han sido filtradas y ya que ahí tan solo te registras con un nick.

  Gracias a las redes sociales, no es demasiado complicado para un delincuente pasar de un nick a un nombre y apellidos reales y de ahí seguir tirando del hilo hasta encontrar algún esposo o esposa al que contactar y comentar ciertos detallitos de un tema.

  Para pasar de un nick a unos nombres reales vamos a asumir que estos han reutilizaro sus nick en twitter o facebook y en aff.

  Unos simples scripts [1][2] que iteren por la lista de nicks filtrados y realize un curl a "https://facebook.com/<leaked_nick>" o "https://twitter.com/<leaked_nick>" podría discernir entre aquellos usuarios existentes y no existentes dependiendo del código HTTP devuelto por la web (200: Usuario existente, 404: Usuario Inexistente).

  Realicé una búsqueda de 1.000.000 de nicks en twitter.com con el script mencionado [2] y he podido llegar a encontrar cerca de un 24% de nicks reutilizados en aff y twitter (239979 / 1.000.000 * 100 = ~24%). Similar búsqueda realicé en facebook [1], pero esta vez con tres millares de usuarios, encontrando un 5% de nicks reutilizados en aff y facebook (196 / 3770 * 100 = ~5%). Y 158 nicks que existen en ambas redes sociales.



  Por supuesto, no quiere decir que todos los nicks filtrados de aff encontrados en estas redes sean realmente la misma persona, pero un análisis en más profundidad manual de los perfiles podría sacarnos de dudas comparando por localidad de residencia o el pais de la IP de conexión. Yo al menos, me jugaría un dedo del pie izquierdo de otra persona a que hay un alto porcentaje que reutilizan su nick en las tres redes sociales.

  En resumen, no solo hemos de no reutilizar contraseñas entre diferentes sitios web, aplica lo mismo con tus nicks e emails de registro si te registras en una web de la que no quisieras que nadie supiera nunca que estás registrado.


0 comentarios:

Publicar un comentario