lunes, 24 de agosto de 2020

Millones de cuentas filtradas en la Dark Web



     El equipo de investigación de seguridad de Comparitech reveló una fuga en una base de datos no segura que dejó casi 235 millones de perfiles de usuario de Instagram, TikTok y YouTube expuestos en línea.

Una revisión del caso sugiere que actualmente hay 15 mil millones de inicios de sesión robados en más de 100.000 fugas de datos, incluso alguien que regala 386 millones de registros robados de forma gratuita. No todos estos datos han sido hackeados, al menos no en el sentido habitual de la palabra, sino que la mayoría provienen de bases de datos mal securizadas.

Las bases de datos no seguras se están convirtiendo rápidamente en un problema de protección de datos. Se ha convertido en un problema tan grande que se cree que un investigador de seguridad está detrás de la serie de ataques "Meow", unos ataques que sobrescriben los índices de miles de esas bases de datos.

El bot Meow parece existir únicamente para destruir aquellas bases de datos que se dejan abiertas y expuestas en línea, sin ningún control de acceso. Se llama así porque el script automatizado sobrescribe los índices con cadenas numéricas aleatorias con la palabra "meow" añadida. Esta acción, parece afectar tanto a instancias de Elasticsearch como de MongoDB expuestas y borra la información de la base de datos.

Los datos descubiertos por Comparitech, se distribuyeron en varios conjuntos de datos. Las fugas más importantes son dos que llegan a poco menos de 100 millones cada una y contienen registros de perfil extraídos de Instagram. La tercera más grande fue de unos 42 millones de usuarios de TikTok, seguido de poco menos de 4 millones de perfiles de usuario de YouTube.

Aunque los datos son de acceso público, el hecho de que se hayan filtrado en conjunto como una base de datos bien estructurada los hace mucho más valiosos de lo que sería cada perfil de forma aislada. Sería fácil para un bot usar la base de datos para publicar comentarios de spam específicos en cualquier perfil de Instagram que coincida con los criterios, como el sexo, la edad o el número de seguidores.

Mientras dure este alboroto, recomendamos a los usuarios de Instagram, TikTok y YouTube, que estén especialmente alerta a estafas de phishing por correo electrónico o comentarios en las redes sociales.

No hay comentarios:

Publicar un comentario