104 - Experimento Lifehacker: ¿qué tan difícil es robar correos, usuarios y claves? - 18/12/2010
Autor: Lic. Cristian F. Borghello
En el presente se cuenta el robo de información sensible que afectaron a varios sitios y se conduce un experimento para comprobar cuan difícil es obtener datos de los usuarios.
Como es de público conocimiento durante la última semana el portal Gawker Media, red de sitios que incluye a Gizmodo, Lifehacker, Kotaku, io9, fue atacado y se robó información de todos los usuarios registrados en los sitios mencionados.
Esta información fue publicada en Internet en un archivo Torrent de aproximadamente 500 MB conteniendo 188 mil registros con correos, usuarios y contraseñas de los usuarios registrados.
De inmediato los sitios afectados solicitaron el cambio de contraseña a todos sus usuarios pero ya era demasiado tarde y los datos sustraídos fueron usados por los delincuentes para ingresar a cuentas de Gmail, Yahoo!, Twitter, Linkedin y otros portales debido a que los usuarios utilizan el mismo usuario y contraseña para los distintos sitios en los que se registran.
Durante la semana en Segu-Info realizamos dos análisis. El primero de ellos comprende estudiar la complejidad de las contraseñas utilizadas por los usuarios y se extrajeron los siguientes resultados:
- 3.470 usuarios (1,62%) utilizan la misma palabra como usuario y clave
- Las contraseñas más utilizadas son "123456" con 3.057 apariciones y "password" con 2.090 usuarios que la utilizan
- 8,42% de las personas utilizan contraseñas que 100 o más usuarios ya han elegido previamente
- 54 usuarios eligieron contraseñas con un sólo carácter y 136 con dos
- 25.205 (13%) sólo utilizan números como contraseña
- 66.545 (35%) usuarios usan contraseñas combinando letras y números
- 70.890 usuarios (37%) eligieron contraseñas únicas (no usada por nadie más)
Posteriormente The Wall Street Journal también realizó un análisis similar sobre las 50 contraseñas más comunes y, por supuesto, obtuvo los mismos resultados.
En base a los resultados obtenidos decidimos hacer un segundo análisis (gracias Cristian P. por la idea) conduciendo un experimento de Ingeniería Social en dónde el objetivo es determinar el nivel de confianza de los usuarios cuando, a cambio de algo, se les solicita ingresar información en un lugar determinado.
Para ello se creo un formulario en donde cualquier usuario podía ingresar su correo electrónico (no se solicitaba ningún otro dato) y a cambio se consultaba si su correo electrónico y contraseña se encontraba en la base de datos robada y se le sugería que cambie su contraseña. Con el correo suministrado, se realizaba la búsqueda y efectivamente se informaba al usuario sobre si era hallado o no en la base de datos.
Si bien realmente se brindaba la información prometida, el experimento consistía en conocer qué porcentaje de usuarios ingresaba su correo, creando una base de datos que podría ser utilizada para futuros envíos de correo basura u otros tipos de ataques.
NOTA: Segu-Info NO almacenó ningún tipo de información (ni siquiera el correo ingresado) y sólo se procesaron contadores y cantidades para obtener los resultados buscados. Luego de 48 hs, el formulario fue dado de baja.
Para lograr el ingreso de usuarios, el formulario se promocionó a Blog de Segu-Info, el grupo de discusión ForoSI y en Twitter @seguinfo.
En los dos días que duró el experimento, los resultados obtenidos fueron los siguientes:
- Cantidad de usuarios que ingresaron: 401
- Cantidad de correos ingresados: 407
- Relación (407/401): 1,01
Si bien esos resultados pueden sonar ilógicos, simplemente se debe a que, al ingresar, cada usuario consultaba más de un correo electrónico y esa cantidad se balancea con los usuarios que no realizaron ninguna consulta (también puede deberse a que algunos usuarios ingresaron correos no válidos para probar la funcionalidad).
Por otro lado, la cantidad de correos que se encontraron en la base de datos fueron sólo 9, de los cuales dos de ellos nos han agradecido por facilitarle la información.
Si bien los resultados no son concluyentes, son preocupantes, porque indican que un alto porcentaje de usuarios que ingresan a un sitio determinado, si se le solicita información "sensible", es probable que
No debe omitirse que quienes ingresaron al formulario realizaron la consulta siguiendo la sugerencia de un sitio de seguridad (¿de confianza y conocido por todos?) que centra sus esfuerzos y campañas en recomendar lo contrario.
Como conclusión, si se tiene en cuenta que este método de Ingeniería Social es el mismo que utilizan los delincuentes para realizar ataques de Phishing, robo de información sensible y de identidad, este pequeño experimento no hace más de confirmar la necesidad de más educación para conocer estos métodos y la forma de evitarlos.
Buenos Aires, 18 de diciembre de 2010