Ha pasado ya casi un mes desde el ataque contra Ashley Madison, uno de los más graves de los últimos meses que dejó al descubierto a 37 millones de usuarios que utilizaban la plataforma para ser infieles a sus parejas. Entre los más de 100 Gigabytes de información robada de los servidores cabe destacar las contraseñas utilizadas por todos los usuarios de la plataforma, aunque eso sí, se almacenaban de forma cifrada y seguras, igual que como en teoría se guardaba la información de los usuarios de la plataforma.
Desde el principio se pensaba que las contraseñas de Ashley Madison estaban cifradas por el algoritmo BCrypt. Este algoritmo tiene la característica de ser tan lento que se podrían tardar siglos en descifrar la base de datos de contraseñas completa, sin embargo parece que el proceso va más rápido de lo esperado.
El grupo de crackers Cynosure Prime asegura haber roto ya el cifrado de más de 11 millones de contraseñas de las bases de datos de los usuarios de Ashley Madison en tan sólo 10 días. Aunque las contraseñas sí que estaban cifradas mediante el algoritmo BCrypt, este grupo de crackers detectó un fallo de seguridad al analizar el código fuente de la web en el que los tokens de acceso se protegieron con el algoritmo MD5, un algoritmo mucho menos seguro y rápido de crackear.
De esta manera los crackers de Cynosure Prime utilizaron la fuerza bruta con estos tokens, pudiendo resolver en menos de 10 días más de 11 millones de contraseñas de los usuarios de las plataformas.
Aunque se han conseguido romper la seguridad de estas 11 millones de contraseñas, los crackers no van a poder avanzar más y descifrar la seguridad de los 37 millones de las mismas. Esto se debe a que el algoritmo MD5 no se introdujo hasta junio de 2012, estando las contraseñas anteriores a dicha fecha protegidas y siendo mucho más complicado poder crackearlas.
Todos los usuarios registrados en Ashley Madison, si no lo han hecho aún, deberían cambiar la contraseña de los sitios donde también utilizaran la misma (correo electrónico, redes sociales, bancos, etc), aunque la verdad es que el crackeo de sus contraseñas debería ser uno de sus menores problemas tras la publicación de los datos de la red social.
Source:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
