15 nov. 2013

Contraseñas de sitios GOB.AR comprometidas por la filtración de #Adobe

Como se sabe, la última semana Adobe ha "perdido" 130 millones de credenciales de sus usuarios. En este archivo figuran el correo electrónico del usuario, su contraseña cifrada en 3DES en modo ECB, y el recordatorio de clave que el usuario haya colocado. El formato es el siguiente:

ID_XXX-|--|-usuario@dominio.com-|-Pass_3DES-|-RECORDATORIO_PASS|--

Esta fuga de información esta considerada como una de las más grande de la historia así que luego de descargar el archivo de 10GB (descomprimido) he buscado algunos dominios que podrían ser interesantes para analizar y así verificar la fortaleza de las contraseñas utilizadas. Específicamente he puesto el foco en dominios .GOB.AR, aunque luego también lo hice con bancos y otras entidades importantes de la República Argentina.

Lo que he encontrado no me extraña en lo más mínimo y sólo es una muestra más de la falta de lineamientos claros del estado argentino con respecto a la seguridad de la información. En esta imagen se puede apreciar el volcado de datos así como los recordatorios de contraseña utilizados por estos usuarios, en donde claramente se puede ver lo sencillo que sería "adivinar" la contraseña, suponiendo que no se utilice ningún método para crackearlas:
He hallado un total de 260 usuarios de distintas dependencias gubernamentales argentinas y, sobre ellas adicionalmente he realizado un pequeño recorrido por las contraseñas más utilizadas resultando lo siguiente:
  • EQ7fIpT7i/Q= - 123456 - 7 usuarios
  • BB4e6X+b2xLioxG6CatHBw== - adobe123 - 1 usuario
  • j9p+HwtWWT/ioxG6CatHBw== - 12345678 - 1 usuario
  • 5djv7ZCI2ws= - qwerty - 1 usuario
  • dQi0asWPYvQ= - 1234567 - 1 usuario
 Por supuesto ya hay varios trabajos relacionados en romper estas contraseñas y varias empresas que han estado trabajando en el descifrado completo del archivo, tratando de deducir información adicional, sin siquiera llegar al extremo de aplicar fuerza bruta con las herramientas disponibles. Doy por descartado que alguien ya ha descifrado el archivo completo o gran parte de él.

Todo lo dicho no es más que una excusa para mencionar que, si trabajas en una entidad de gobierno, no utilices contraseñas triviales, porque ese es el principal motivo para que luego los sitios gubernamentales sean atacados con éxito. Si no trabajas en una entidad de gobierno, cambia tus contraseñas y agradécele a Adobe su pésimo trabajo protegiendo la información. Incluso Facebook ha avisado a algunos usuarios que deben cambiar su contraseña por este motivo.

Mientras tanto, si quieres ahorrar trabajo (y confías en ellos) puedes buscar tu email en línea en el sitio de LassPass.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!