Ha vuelto a pasar.
Friend Finder Network Inc, una compañía dirigida al público de más de 18 años, y que tiene en su haber páginas como Adulfriendfinder.com, Cams.com, Penthouse.com, Stripshow.com e iCams.com, sufría un hackeo este pasado octubre que exponía algo más de 400 millones de cuentas. Concretamente, 412.214.295 (EN).
En serio, párese a pensar lo que representa este número. Cuentas actuales y cuentas que datan del 1997, usuarios que quizás ya no existan y usuarios que siguen disponibles, pares de usuario/contraseña que seguramente están siendo usados para otros menesteres, y que involucran, como ocurrió en el caso de Ashley Madison, clientes de servicios de contacto con presumiblemente unos cuantos millones de adúlteros y adúlteras.
La filtración se hacía pública el pasado viernes, y a un servidor le ha tocado estos días analizar el caso a nivel interno. La mayoría de medios se han hecho eco del asunto ayer, habida cuenta de que ha destronado a la filtración de MySpace como el volcado de datos personales más grande de la historia. Todo un honor del que seguramente la compañía no hará gala ante sus inversores.
Porque de eso mismo quería hablar hoy. Que noticias como esta sigan acaparando portadas mes tras mes solo demuestra que ni las empresas ni los usuarios parecemos haber aprendido absolutamente nada.
¿Cómo es posible que situaciones como estas se vuelvan a dar periódicamente? ¿Quién tiene la culpa de todo ello?
Vamos por partes.
El papel del usuario
Y empezamos fuerte.
A estas alturas, criticar el consumo de porno entre adultos me parece una soberana gilipollez. Como también está el hecho de encontrar en una página de contactos relaciones extramatrimoniales. Allá cada uno con su vida.
Pero lo que todavía no me explico es cómo puede haber gente del gobierno y de su ejército utilizando las cuentas corporativas para suscribirse a servicios de este tipo.
Por citar dos ejemplos, este volcado tenía 5.650 emails .gov y 78.301 cuentas .mil. Y esto ocurrirá seguramente con el resto de grandes organizaciones de medio mundo.
¿Que qué problema hay en hacerlo? Descontando el hecho de que seguramente esos correos están de una u otra manera monitorizados por la propia organización (ya no solo estás exponiendo tus gustos sexuales, sino que además lo estás haciendo a quien te da de comer), me pregunto qué porcentaje de todos ellos estarán utilizando además la misma contraseña que utilizan para entrar en su sesión, o acceder al resto de servicios que dicha organización ofrece en su intranet.
Ya lo he explicado en más de una ocasión. El problema de estas filtraciones no es la filtración en sí, sino esa base de conocimiento que va a permitir a todo aquel que acceda al volcado disponer de un par usuario/contraseña que seguramente sea el mismo que el que la víctima ha utilizado para crearse su cuenta de email, su Facebook, o peor aún, su logging en los servicios corporativos, exponiéndose no solo a sí mismo, sino al resto de trabajadores y por antonomasia, a la propia organización.
Por si esto fuera poco, vamos a echarle un ojo a las contraseñas más utilizadas.
Rango | Contraseña | Frecuencia |
1 | 123456 | 900,420 |
2 | 12345 | 635,995 |
3 | 123456789 | 585,150 |
4 | 12345678 | 145,867 |
5 | 1234567890 | 133,414 |
6 | 1234567 | 112,956 |
7 | password | 101,046 |
8 | qwerty | 86,050 |
9 | qwertyuiop | 43,755 |
10 | 987654321 | 40,627 |
11 | 123123 | 39,614 |
12 | 111111 | 38,848 |
13 | pussy | 37,938 |
14 | fuckme | 36,008 |
15 | asdfghjkl | 35,021 |
16 | 000000 | 34,631 |
17 | fuckyou | 34,498 |
18 | abc123 | 34,080 |
19 | 00000 | 33,796 |
20 | 11111 | 33,263 |
Que casi un millón de personas sigan utilizando 123456 como contraseña para su identidad digital solo constata que hay algo que falla. O nosotros somos incapaces de llegar a esas personas, o esas personas tienen los ojos y los oídos taponados.
No sé cuál de las dos es, pero algo está fallando.
El papel de las organizaciones
Así llego al segundo en discordia. Y por varios motivos:
El primero y más criticable es que Friend Finder Networks Inc. no borraba las cuentas cuando el usuario proactivamente lo solicitaba. Desconozco si ha llegado al nivel de Ashley Madison, que tenía un servicio de pago para eliminar el perfil del usuario y que tampoco lo eliminaba de su BBDD, pero en todo caso hay algunos apuntes a considerar:
- Solo en la página principal (AdultFriendFinder) había 15.000 cuentas marcadas como eliminadas (el cliente así lo había pedido) que por supuesto seguían en la base de datos (al email se le incluía un @deleted.com, para más cachondeo). Esto sin lugar a duda tiene que ser denunciable.
- Entiendo que haya interés en mantener ese tipo de información una vez el usuario pide que se elimine su cuenta. Servicios como Facebook, Twitter o Google mantienen parte de ese histórico, he incluso llegan a guardar el contenido que allí publicamos y borramos, excusándose en su necesidad de entender mejor al usuario. Pero creo que debería haber un punto medio en el que aunque se almacene este tipo de información, se anonimice aquellos datos identificativos, o como mínimo no se asocie a elementos tan críticos como es la contraseña utilizada. A fin de cuentas, de volver a estar interesado el usuario en reactivar la cuenta, tendremos que forzarle a crear otra nueva.
El segundo motivo que me hace hervir la sangre es que alrededor de un tercio de todas las contraseñas almacenadas estaban en texto plano. Y el resto, bajo un hash SHA1, considerado hoy en día “poco seguro”, y que de hecho, ya ha permitido obtener el 99% de los pares usuario/contraseña.
Si ofreces un servicio que utilizan varios millones de personas, ¿qué cuesta cifrar los datos principales con un algoritmo robusto? Que vale que quizás en 1997 no era algo necesario, pero ya ha llovido desde entonces. Cuándo decidiste dar el paso a SHA1, ¿Por qué no cifrar también las cuentas antiguas? Ya no solo por seguridad, sino por efectividad (necesitas mantener entonces dos métodos de identificación separados).
¿Cuál es el único punto bueno en todo esto? Que curiosamente los administradores decidieron formatear todas las contraseñas a minúsculas. Algo que ha facilitado el trabajo de descifrado, sí, pero que podría ayudar a todos aquellos usuarios que llevaran la lección medio aprendida y cuya contraseña, aún siendo utilizada en otros servicios, contaba con algunas letras en mayúscula.
Porque recalco que el problema de filtraciones como esta no es la filtración en sí, sino los usos que se van a dar de esa ingente base de datos. Bien sea para preparar nuevas bibliotecas de fuerza bruta, bien sea para automatizar las peticiones y el robo de millones de identidades digitales en el resto de servicios.
Y para terminar, una pregunta: ¿No sería interesante que, en vista al fallo de los usuarios y la irresponsabilidad de la compañía afectada, el resto de grandes servicios de Internet utilizasen esa base de datos para que proactivamente, si tienen en su haber esos emails, fuercen a sus usuarios a cambiar la contraseña por otra?
Sería un buen ejercicio para proteger los intereses de su negocio, y ya de paso, los intereses de sus propios clientes. Y además, entiendo que no sería realmente costoso de llevar a cabo (una búsqueda en su BBDD, el reseteo de la contraseña y una alerta, vía email y vía pantalla de login, explicando el por qué de esta medida y sacando pecho frente a ese usuario desconocedor del riesgo al que se está enfrentando, y frente a todas aquellas organizaciones que hoy en día siguen negándose a hacer las cosas bien).
No marcaríamos un antes y un después, pero de volverse una estrategia habitual se minimizarían muchísimo los daños colaterales y, presumiblemente, haría muchísimo menos rentable llevar a cabo este tipo de hackeos.
Yo por aquí lo dejo :).
Lo de las contraseñas es algo común, las personas tienen que mantener las claves de correos, bancos, celulares, equipos, redes sociales, paginas afiliadas, tarjetas de débito, etc,etc,etc. Lo mas común es escuchar personas que piden en sus que los tiempos para cambios de claves sea larga o que no suceda, alegando que si alguien les ve la clave no importa porque no tienen nada clasificado (hasta el día que alguien se va descontento y borra todo). realmente son tantas claves que hasta cierto punto los entiendo, pero las personas no tienen idea del valor de su accesos a sistemas hasta que algo sucede y se ponen las manos en la cabeza exigiendo al Administrador de Sistema que tome responsabilidad por un error que no le corresponde. Muchos o casi nadie entiende que lo que cada quien haga con una clave que se le dio es responsable por su uso así como la firma, por lo cual así como no se firma sin leer se debe cuidar del uso de los accesos que se custodian.
Totalmente de acuerdo Ubaldo. Y fíjate que es un problema educativo (la responsabilidad se está pasando entre los dos agentes), y precisamente de ahí que sistemas basados en la responsabilidad absoluta del usuario (por ejemplo, con cifrados asimétricos que dependen de que el usuario tenga cuando lo necesite su clave privada) son complejos de implantar, ya que esa responsabilidad recae precisamente en el agente que no está dispuesto a tenerla.
Vamos, que tenemos guerra para tiempo…
Y seguiremos viendo estos casos. La irresponsabilidad de los servicios con sus cifrados débiles o peor aún con contraseñas en texto plano y la estupidez del usuario conforman un cóctel perfecto para atraer ciberdelincuentes. Si por lo menos no se la pusieran tan fácil. Y tu propuesta Pablo sería una forma de defensa efectiva que ayudaría a luchar contra esta amenaza.