La base de datos de Taringa ha sido hackeada y los datos de casi 29 millones de usuarios han sido comprometidos, incluyendo nombres de usuarios, direcciones de email y las contraseñas.
Según informan en Hacker News el servicio de notificaciones de brechas de seguridad, LeakBase ha obtenido una copia de la base de datos.
La filtración incluye los hash de las contraseñas de 28,722,877 cuentas, que además usaban el algoritmo MD5, uno de los más desactualizados y fáciles de romper.
LeakBase compartió con Hacker News unos 4,5 millones de usuarios para ayudarles a comprobar la veracidad de la base de datos. Usando las direcciones de email encontradas, contactaron varios usuarios de Taringa monstrándoles sus contraseñas en texto plano y estos verificaron que se trataba de datos correctos.
¿Inteligencia colectiva?
Entre los datos recolectados podemos ver la lista de las 50 contraseñas más usadas por los usuarios de Taringa, y el ganador indiscutible es "123456789", usada por más de 160,000 usuarios.
Más de 11,000 personas usan "contraseña" como contraseña, unos 5,000 utilizan "realmadrid". "qwerty", "mierda" y "poringa" también superan los 5000 usuarios, desbordando creatividad e inteligencia colectiva.
Entre la terrible elección de contraseñas por parte de los usuarios, y el obsoleto método de cifrado de los passwords que usa Taringa, además de no forzar el uso de contraseñas más fuertes, se mezcló un cóctel perfecto de malas prácticas de seguridad para dar como resultado esta brecha.
Taringa había avisado de la brecha en un post el mes pasado, diciendo que los atacantes aún tenían acceso a la base de datos. Ahí también dijeron que habían tomado las medidas necesarias para avisar a los usuarios, y que trabajarían en usar un sistema de cifrado de contraseñas más robusto.
Si eres usuario de Taringa no sobra decirte que cambies tu contraseña, no solo en Taringa sino en cualquier otro sitio donde uses el mismo email, especialmente si tu contraseña de elección forma parte de esa catastrófica lista.
Vía | The Hacker News
En Genbeta | Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras
Ver 26 comentarios
26 comentarios
Usuario desactivado
Uff, lo peor parece ser que Taringa decidió no hacer pública la información y solo avisó a los usuarios que accedieron a su cuenta durante la última semana.
Muy mal por Taringa, no solo por usar MD5, sino también por su falta de transparencia y su poco ética actuación tras el incidente.
darkfish
Lo trágico es que si descubrieron las claves de taringa, indefectible también lo hicieron de poringa!.
Jackie
No puedo creer que todavía haya gente que ponga como contraseña 123456789 !!
augus1990
Que verguenza que mis compatriotas programadores sean tan incompetentes como para usar MD5 para el hashing de contraseñas en estos tiempos.
Al programador que todavia no lo sepa: NO se usan algoritmos rapidos de hash para cifrar contraseñas y menos todavia si son vulnerables como MD5 y SHA1. Para hashing de contraseñas se usan algoritmos lentos de hash como BCrypt o PBKDF2 junto con una Salt.
atoi
Y qué más da si son puras cuentas clon. No hay razón para ponerse autista con estas cosas.
ranixon
Eso fue hace cerca de 1 mes.
protesta
Aquí hay algo que no se está teniendo en cuenta: que muchas son cuentas fantasma que no-usuarios crean con un email desechable para poder ver algún artículo.
hades1996
Hombre, hasta yo estudiante de informática uso SHA-2 o bcrypt (por defecto en PHP) y salt en mis proyectos de clase...
Svtopata
Eso todavía existe. Que dinosaurio ese. xD
jad_i7
Yo acabo de borrar la cuenta. Como la cuenta me imagino que seguirá en la base de datos antes de eliminar la cuenta he cambiado la contraseña.
Hacia como años que no entraba en Taringa que ni me acordaba con que email tenia la cuenta, he tenido que probar con varios emails que tengo para sitios dudosos y por lo que veo hice bien en utilizar otro email diferente al principal cuando cree la cuenta hace 7 años.
marjuanmanuel
alarmante que ninguno use letras y números u otras combinaciones en sus contraseñas, cero nociones de seguridad de los usuarios.
pablosalazaraguila
Que conveniente hackear unas de las página de descarga más conocidas.......