La pasada semana hablábamos del auge de las fugas de información en la red. Recientemente supimos que el popular constructor de sitios web online -de nombre Weebly- había sido comprometido y se había expuesto la información de nada menos que 43 millones de cuentas.
Lo supimos en primer lugar gracias a LeakedSource.com, donde se publicó la base de datos que contenía nada menos que 43430316 cuentas listadas. Entre la información filtrada podemos encontrar nombres de usuario, emails, contraseñas y direcciones IP. Suficiente para suponer un problema.
Fuga de información masiva en Weebly
Poco o nada sabemos sobre quién es el responsable de tamaño problema (quién exfiltró los datos del sitio web legítimo) pero sí sabemos que el problema ocurrió durante el mes de Febrero en el espacio de hosting. Alguien anónimo envió después los datos a LeakedSource.
En los malos momentos se ve si se ha trabajado bien
En cada crisis siempre hay dos posbilidades: la primera es sucumbir y la segunda salir reforzado. LeakedSource afirma que la brecha podría haber sido mucho peor, si los dueños del portal no hubieran implementado una importante función de seguridad:
Esta mega brecha afecta no solo a decenas de millones de usuarios, sino a decenas de millones de sitios web dado que Weebly es uno de los sitios de alojamiento de web más populares en el mundo. Esta brecha podría haber sido desastrosa si la información hubiera caído en malas manos y los administradores no hubieran hasheado correctamente las contraseñas.
Concretamente, Weebly utilizó un hash Bcrypt salteado con un factor de 8. Tras el incidente, incluso han comenzado a utilizar el factor 10 para garantizar la máxima fortaleza de las contraseñas de sus usuarios.
También parece ser que el co-fundador de Weebly -Chris Fanini- está trabajando mano a mano con LeakedSource para asegurarse de que la empresa envía las notificaciones y recuperaciones de contraseñas pertinentes a los usuarios afectados.
Aquí podéis ver estadísticas sobre las principales cuentas de correo filtradas:
| Posición | Dominio de Email | Frecuencia |
| 1 | @gmail.com | 12,760,172 |
| 2 | @yahoo.com | 5,760,654 |
| 3 | @hotmail.com | 4,168,402 |
| 4 | @weebly.com | 3,421,602 |
| 5 | NONE | 3,190,390 |
| 6 | @blank.weebly.c | 719,873 |
| 7 | @aol.com | 669,941 |
| 8 | @live.com | 427,420 |
| 9 | @hotmail.co.uk | 403,841 |
| 10 | @wee | 368,058 |
| 11 | @outlook.com | 341,947 |
| 12 | @ymail.com | 267,538 |
| 13 | @weebly. | 211,516 |
| 14 | @chacuo.net | 210,628 |
| 15 | @027168.com | 209,625 |
| 16 | @163.com | 203,031 |
| 17 | @comcast.net | 181,967 |
| 18 | @yahoo.co.uk | 149,512 |
| 19 | @mail.ru | 140,014 |
| 20 | @weeblycloud.co | 139,544 |
| 21 | @icloud.com | 137,526 |
| 22 | @qq.com | 130,685 |
| 23 | @msn.com | 130,410 |
| 24 | @rocketmail.com | 117,507 |
| 25 | @live.co.uk | 97,216 |
| 26 | @hotmail.fr | 92,738 |
| 27 | @mail.com | 92,028 |
| 28 | @me.com | 90,855 |
| 29 | @aim.com | 76,849 |
| 30 | @sbcglobal.net | 75,274 |
| 31 | @yahoo.co.id | 67,757 |
| 32 | @googlemail.com | 65,708 |
| 33 | @att.net | 59,142 |
| 34 | @yahoo.com.tw | 59,109 |
| 35 | @verizon.net | 57,256 |
| 36 | @rediffmail.com | 51,829 |
| 37 | @yahoo.ca | 50,127 |
| 38 | @yahoo.fr | 49,435 |
| 39 | @hotmail.it | 48,719 |
| 40 | @yahoo.co.in | 48,022 |
| 41 | @abv.bg | 47,791 |
| 42 | @live.nl | 46,432 |
| 43 | @btinternet.com | 45,329 |
| 44 | @web.de | 41,954 |
| 45 | @libero.it | 40,699 |
| 46 | @cox.net | 40,649 |
| 47 | @live.ca | 39,400 |
| 48 | @live.fr | 39,244 |
| 49 | @yahoo.in | 39,004 |
| 50 | @gmx.com | 36,800 |
| 51 | @bellsouth.net | 35,575 |
| 52 | @yahoo.com.vn | 33,713 |
| 53 | @yandex.com | 32,541 |
| 54 | @education.nsw. | 32,140 |
| 55 | @gmx.de | 31,305 |
| 56 | @hotmail.ca | 30,376 |
Weebly ha confirmado la brecha y asegurado que están tomando todas las medidas oportunas para devolver todo a la normalidad, según confirmaron a The Hacker News:
En este momento, no tenemos evidencias de que alguien haya accedido de forma ilegal a ninguna web alojada. No almacenamos nigún número de tarjeta de crédito completo en nuestros servidores, y en este momento no tenemos constancia de que ningún medio de pago se haya utilizado con fines fraudulentos.
Fuga de información en FourSquare, ¿o no?
En la misma publicación, LeakedSource ha compartido la noticia de que más de 22 millones de personas han sido comprometidas en FourSquare, en una filtración que data de 2013. Nombres de usuario, género, ubicación así como IDs de Twitter y Facebook han sido revelados.
Lo curioso es que los administradores de FourSquare afirman rotundamente que esto no es cierto. Quizá habría que tomar esta información con mucha cautela, porque dichos datos podrían símplemente haber sido barridos por alguien y tomados de entre la información que los propios usuarios comparten de forma pública en la red.
Es decir, lo ideal sería que la web no permitiese el barrido de grandes cantidades de información de usuario, estableciendo alguna limitación. Pero a no ser que parte de los datos hayan sido filtrados sin intención por parte de los usuarios, no conviene llamarlo brecha de información.
Tu seguridad también es responsabilidad tuya
LinkedIn, Tumblr, Yahoo…tantos casos en cuestión de meses y de tanta magnitud nos dicen algo: debemos estar atentos al panorama que nos rodea y reaccionar rápido, en este caso cambiando nuestras contraseñas.
Además, recuerda que siempre que puedas debes establecer medidas de seguridad extra, como la autenticación en dos pasos de tus cuentas cuando sea posible.