SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

26 ene 2026

Segu-Info » » 149 millones de credenciales expuestas en línea (Binance, Instagram, Facebook, Roblox, TikTok, etc)

149 millones de credenciales expuestas en línea (Binance, Instagram, Facebook, Roblox, TikTok, etc)

26 ene 2026, 3:07:00 p.m.   Comenta primero!
   

El investigador de ciberseguridad Jeremiah Fowler descubrió una fuga de datos de 149 millones de inicios de sesión y contraseñas, y compartió sus hallazgos con ExpressVPN. La base de datos expuesta públicamente no estaba protegida con contraseña ni cifrada. 

Contenía 149.404.754 inicios de sesión y contraseñas únicos, lo que sumaba un total de 96 GB de datos de credenciales sin procesar. Este no es el primer conjunto de datos descubierto por Fowler y no hace más que poner de relieve la amenaza global que representa el malware que roba credenciales. Cuando se recopilan, roban o extraen datos, estos deben almacenarse en algún lugar, y un repositorio en la nube suele ser la mejor solución. Este descubrimiento también demuestra que ni siquiera los ciberdelincuentes son inmunes a las filtraciones de datos. La base de datos era de acceso público, lo que permitía a cualquiera que la descubriera acceder potencialmente a las credenciales de millones de personas.

Los registros expuestos incluían nombres de usuario y contraseñas recopilados de víctimas de todo el mundo, que abarcaban una amplia gama de servicios en línea de uso común y sobre cualquier tipo de cuenta imaginable.

  • 48M - Gmail
  • 4M - Yahoo
  • 1.5M - Outlook
  • 900k - iCloud
  • 1.4M - .edu
  • 17M - FaceBook
  • 6.5M - Instagram
  • 780k - TikTok
  • 3.4M - Netflix
  • 100k - OnlyFans
  • 420k - Binance

Una preocupación importante era la presencia de credenciales asociadas a dominios GOV de numerosos países. Si bien no todas las cuentas vinculadas a gobiernos otorgan acceso a sistemas sensibles, incluso un acceso limitado podría tener graves consecuencias según el rol y los permisos del usuario comprometido. Las credenciales gubernamentales expuestas podrían utilizarse para phishing selectivo, suplantación de identidad o como punto de entrada a redes gubernamentales.

La base de datos no tenía información de propiedad asociada, así que la reportó directamente al proveedor de alojamiento a través de su formulario de denuncia de abuso en línea. Pasó casi un mes y múltiples intentos antes de que finalmente se tomaran medidas, se suspendiera el alojamiento y millones de credenciales de inicio de sesión robadas ya no estuvieran disponibles. Un hecho inquietante es que el número de registros aumentó desde que el descubrimiento hasta que fue restringida y dejó de estar disponible.

La base de datos parecía almacenar keylogging y malware "infostealer", un tipo de software malicioso diseñado para extraer credenciales de dispositivos infectados de forma silenciosa. Los registros también incluían la ruta "host_reversed" con el formato (com.example.user.machine). Esta estructura se utiliza para crear una forma fácilmente indexable de organizar los datos robados por víctima y origen. Invertir el nombre de host también puede ayudar a evitar conflictos de directorios o como un intento de eludir las reglas básicas de detección que buscan formatos de dominio estándar. El sistema utilizaba un hash de línea como ID de documento para garantizar un registro único por cada línea de registro. En una búsqueda limitada de estos hash e ID de documento, se identificó que eran realmente únicos y no se encontraron duplicados.

Fuente: ExpressVPN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!