Mega filtración de datos: una base de datos abierta deja expuestas 149 millones de credenciales
Una base de datos que contenía alrededor de 149 millones de nombres de usuario y contraseñas de cuentas, incluyendo 50 millones de Gmail, 17 millones de Facebook y más de 400 mil de la plataforma de criptomonedas Binance, ha sido eliminada después de que un investigador informara acerca de dicha exposición al proveedor de hosting.
El analista de seguridad que descubrió la base de datos no pudo hallar indicios de quién era el propietario o quién la operaba, por lo que trabajó para notificar al host, el cual retiró el arsenal de datos debido a que violaba un acuerdo de términos de servicio.
Además de los inicios de sesión de correos electrónicos y redes sociales para una serie de plataformas, el experto observó también credenciales de sistemas gubernamentales de múltiples países, así como inicios de sesión bancarios de consumidores y tarjetas de crédito, junto con plataformas de transmisión de medios.
Además, se sospecha que la base de datos había sido ensamblada por un malware de robo de información o “infostealer”, el cual infecta dispositivos y luego utiliza técnicas como el registro de pulsaciones de teclas o keylogging para grabar la información que las víctimas escriben en los sitios web.
Mientras intentaba contactar al servicio de alojamiento durante el transcurso de aproximadamente un mes, el investigador afirma que la base de datos continuó creciendo, acumulando inicios de sesión adicionales para una gran variedad de servicios.
No obstante, él no está revelando el nombre del proveedor, debido a que la organización es un host global que contrata a empresas regionales independientes para expandir su alcance. Igualmente, la base de datos estaba alojada específicamente por uno de estos afiliados en Canadá.
Es como una lista de deseos soñada para los ciberdelincuentes, debido a que se tienen muchos tipos diferentes de credenciales, comentó el especialista a medios digitales. Un infostealer tendría todo el sentido del mundo.
La base de datos estaba en un formato diseñado para indexar registros de gran tamaño, como si quien la configuró esperara reunir una cantidad masiva de datos y había toneladas de inicios de sesión gubernamentales de muchos países distintos.
Además de los 50 millones de credenciales de Gmail, este tesoro también contenía cerca de 4 millones para cuentas de Yahoo, 1.5 millones para Microsoft Outlook, 1.4 millones para cuentas académicas e institucionales con dominio .edu y otras 900 mil para iCloud de Apple.
De igual manera había unos 800 inicios de sesión para TikTok, 100 mil para OnlyFans y 3.5 millones para Netflix, entre otros. Los datos eran accesibles para el público y se podían buscar utilizando simplemente un navegador web.
Parecía que capturaba cualquier cosa y todo, pero algo que resultó interesante fue que el sistema parecía clasificar automáticamente cada registro con un identificador y estos eran identificadores únicos que no volvían a aparecer, según el investigador. Daba la impresión de que dicho sistema estaba organizando los datos automáticamente a medida que avanzaba para facilitar las búsquedas posteriores.
Aunque el especialista enfatiza que no determinó quién poseía o empleaba la información o con qué propósito, tal estructura tendría sentido si los datos estuviesen siendo consultados por clientes maliciosos y cibercriminales que pagan por diferentes conjuntos de la información, basándose en sus estafas específicas.
