Sigue el drama de Ashley Madison: un error de código permite descifrar 11 millones de contraseñas

Cuando hace unas semanas el grupo de piratas informáticos Impact Team desveló la identidad de 37 millones de perfiles de usuarios de la red Ashley Madison, poco podían imaginar los creadores de esta comunidad de adulterio la repercusión del problema al que estaban a punto de enfrentarse.

Así, a los mapas, falsas cuentas, gráficos y un largo etcétera, se suma el hackeo de 11 millones de contraseñas. Pero ¿qué lo ha hecho posible? Un error de código.

De esta manera y aunque algunos expertos ya habían afirmado que de entre esos 37 millones de cuentas, al menos 15,26 tenían contraseñas fáciles de descifrar; fue ayer mismo cuando un grupo de crackers aficionados dieron con el problema de fondo: fallos de programación. Y no solo eso, sino que los responsables de CynoSure Prime (así se llaman) explicaron en su sitio web todos los detalles.

El quid de la cuestión

En concreto, el equipo encontró la debilidad después de revisar miles de líneas de código junto con las contraseñas hash, correos electrónicos y otros. El estudio del código fuente y la base de datos les llevó a un descubrimiento “asombroso”: las contraseñas no estaban encriptadas con bcrypt –una función criptográfica muy común que se utiliza para almacenarlas en forma de hash-, sino con MD5, un algoritmo mucho más rápido per también notablemente más inseguro.

Su “procedimiento”, según afirman, les ha permitido revelar, como decíamos, 11,2 millones de contraseñas en los últimos 10 días (primero obtenían la versión en minúsculas y después solo era cuestión de probar); una cifra significativa si tenemos en cuenta los intentos del investigador Dean Pierce, que únicamente logró destapar 4 mil en más de 5 días.

Las contraseñas más frecuentes

Aunque el equipo de Cynosure Prime no ha hecho pública la lista de passwords que fue capaz de conseguir, hace unos días y en esta misma línia de acciones, la firma de seguridad informática Avast también dio a conocer las 20 peores contraseñas que se hallaron en el portal canadiense, y que son:

123456

pussy

sparky

camaro

password

secret

helpme

johnson

12345

dragon

blowjob

yamaha

12345678

welcome

nicole

midnight

qwerty

ginger

justin

chris

Via | ArsTechnica

En Genbeta | Cómo explicar, si encuentran tu correo en lista de filtrados de Ashley Madison, que no eras usuario activo del servicio

Ver todos los comentarios en https://www.genbeta.com

VER 6 Comentarios

Portada de Genbeta