Como se sabe, la última semana
Adobe ha "perdido" 130 millones de credenciales de sus usuarios.
En este archivo figuran el correo electrónico del usuario, su
contraseña cifrada en 3DES en modo ECB, y el recordatorio de clave que
el usuario haya colocado. El formato es el siguiente:
ID_XXX-|--|-usuario@dominio.com-|-Pass_3DES-|-RECORDATORIO_PASS|--
Esta fuga de información esta considerada como una de las
más grande de la historia
así que luego de descargar el archivo de 10GB (descomprimido) he
buscado algunos dominios que podrían ser interesantes para analizar y
así verificar la fortaleza de las
contraseñas utilizadas.
Específicamente he puesto el foco en
dominios .GOB.AR, aunque luego también lo hice con bancos y otras entidades importantes de la República Argentina.
Lo que he encontrado no me extraña en lo más mínimo y sólo es una
muestra más de la falta de lineamientos claros del estado argentino con
respecto a la seguridad de la información. En esta imagen se puede
apreciar el volcado de datos así como los recordatorios de contraseña
utilizados por estos usuarios, en donde claramente se puede ver lo
sencillo que sería "adivinar" la contraseña, suponiendo que no se
utilice ningún método para
crackearlas:
He hallado un total de 260 usuarios de distintas dependencias
gubernamentales argentinas y, sobre ellas adicionalmente he realizado un
pequeño recorrido por las
contraseñas más utilizadas resultando lo siguiente:
- EQ7fIpT7i/Q= - 123456 - 7 usuarios
- BB4e6X+b2xLioxG6CatHBw== - adobe123 - 1 usuario
- j9p+HwtWWT/ioxG6CatHBw== - 12345678 - 1 usuario
- 5djv7ZCI2ws= - qwerty - 1 usuario
- dQi0asWPYvQ= - 1234567 - 1 usuario
Por supuesto ya hay
varios trabajos relacionados en romper estas
contraseñas y
varias empresas que han estado trabajando en el descifrado completo
del archivo, tratando de deducir información adicional, sin siquiera
llegar al extremo de aplicar fuerza bruta con las herramientas
disponibles. Doy por descartado que alguien ya ha descifrado el archivo
completo o gran parte de él.
Todo lo dicho no es más que una excusa para mencionar que, si trabajas
en una entidad de gobierno, no utilices contraseñas triviales, porque
ese es el principal motivo para que luego los sitios gubernamentales
sean atacados con éxito. Si no trabajas en una entidad de gobierno,
cambia tus
contraseñas y agradécele a Adobe su pésimo trabajo
protegiendo la información. Incluso
Facebook ha avisado a algunos usuarios que deben cambiar su contraseña por este motivo.
Mientras tanto, si quieres ahorrar trabajo (y confías en ellos) puedes
buscar tu email en línea en el sitio de LassPass.
