stringtranslate.com

Relleno de credenciales

El robo de credenciales es un tipo de ciberataque en el que el atacante recopila credenciales de cuentas robadas , que normalmente consisten en listas de nombres de usuario o direcciones de correo electrónico y las contraseñas correspondientes (a menudo de una violación de datos ), y luego usa las credenciales para obtener acceso no autorizado a cuentas de usuario en otros sistemas a través de solicitudes de inicio de sesión automatizadas a gran escala dirigidas contra una aplicación web . [1] A diferencia del descifrado de credenciales, los ataques de robo de credenciales no intentan usar la fuerza bruta ni adivinar ninguna contraseña: el atacante simplemente automatiza los inicios de sesión para una gran cantidad (de miles a millones) de pares de credenciales previamente descubiertos utilizando herramientas de automatización web estándar como Selenium , cURL , PhantomJS o herramientas diseñadas específicamente para este tipo de ataques, como Sentry MBA, SNIPR, STORM, Blackbullet y Openbullet. [2] [3]

Los ataques de robo de credenciales son posibles porque muchos usuarios reutilizan la misma combinación de nombre de usuario y contraseña en varios sitios. Una encuesta informó que el 81 % de los usuarios reutilizó una contraseña en dos o más sitios y el 25 % de los usuarios usa las mismas contraseñas en la mayoría de sus cuentas. [4] En 2017, la FTC emitió un aviso que sugería acciones específicas que las empresas debían tomar contra el robo de credenciales, como insistir en contraseñas seguras y protegerse contra los ataques. [5] Según el ex zar del fraude de clics de Google , Shuman Ghosemajumder , los ataques de robo de credenciales tienen una tasa de éxito de inicio de sesión de hasta el 2 %, lo que significa que un millón de credenciales robadas pueden apoderarse de más de 20 000 cuentas. [6] La revista Wired describió que la mejor manera de protegerse contra el robo de credenciales es usar contraseñas únicas en las cuentas, como las generadas automáticamente por un administrador de contraseñas , habilitar la autenticación de dos factores y hacer que las empresas detecten y detengan los ataques de robo de credenciales. [7]

Fugas de credenciales

Una fuga de credenciales, también conocida como violación o fuga de datos, se produce cuando individuos o grupos no autorizados obtienen acceso ilícito a credenciales de usuario confidenciales que las organizaciones almacenan. Dichas credenciales suelen incluir nombres de usuario, direcciones de correo electrónico y contraseñas. Las repercusiones de las fugas de credenciales pueden ser significativas, ya que suelen exponer a los usuarios a una variedad de peligros, como el robo de identidad, el fraude financiero y la infiltración no autorizada de cuentas. [8]

Los ataques de robo de credenciales se consideran una de las principales amenazas para las aplicaciones web y móviles debido al volumen de fugas de credenciales. Solo en 2016, se filtraron más de tres mil millones de credenciales a través de violaciones de datos en línea. [9]

Origen

El término fue acuñado por Sumit Agarwal, cofundador de Shape Security, quien en ese momento se desempeñaba como subsecretario adjunto de Defensa en el Pentágono . [10]

Incidentes

El 20 de agosto de 2018, la cadena británica de productos de salud y belleza Superdrug fue objeto de un intento de chantaje, en el que los piratas informáticos mostraron supuestas pruebas de que habían entrado en el sitio de la empresa y descargado los registros de 20.000 usuarios. Lo más probable es que las pruebas se hubieran obtenido mediante ataques de piratería y filtración de datos y luego se hubieran utilizado como fuente para ataques de robo de credenciales con el fin de obtener información para crear las pruebas falsas. [11] [12]

En octubre y noviembre de 2016, los atacantes obtuvieron acceso a un repositorio privado de GitHub utilizado por los desarrolladores de Uber (Uber BV y Uber UK), utilizando los nombres de usuario y las contraseñas de los empleados que se habían visto comprometidos en infracciones anteriores. Los piratas informáticos afirmaron haber secuestrado las cuentas de usuario de 12 empleados utilizando el método de relleno de credenciales, ya que las direcciones de correo electrónico y las contraseñas se habían reutilizado en otras plataformas. La autenticación multifactor , aunque disponible, no estaba activada para las cuentas afectadas. Los piratas informáticos localizaron las credenciales para el almacén de datos AWS de la empresa en los archivos del repositorio, que utilizaron para obtener acceso a los registros de 32 millones de usuarios no estadounidenses y 3,7 millones de conductores no estadounidenses, así como otros datos contenidos en más de 100 depósitos S3 . Los atacantes alertaron a Uber, exigiendo el pago de $ 100,000 para aceptar eliminar los datos. La empresa pagó a través de un programa de recompensas por errores , pero no reveló el incidente a las partes afectadas durante más de un año. Después de que la infracción saliera a la luz, la empresa recibió una multa de 385.000 libras esterlinas (reducida a 308.000 libras esterlinas) por parte de la Oficina del Comisionado de Información del Reino Unido . [13]

En 2019, la firma de investigación de ciberseguridad Knight Lion Security afirmó en un informe que el robo de credenciales era el método de ataque favorito de GnosticPlayers . [14]

Comprobación de credenciales comprometida

La verificación de credenciales comprometidas es una técnica que permite notificar a los usuarios cuando sus contraseñas son violadas por sitios web, navegadores web o extensiones de contraseñas.

En febrero de 2018, el científico informático británico Junade Ali creó un protocolo de comunicación (utilizando k -anonimato y hash criptográfico ) para verificar de forma anónima si se filtró una contraseña sin revelar completamente la contraseña buscada. [15] [16] Este protocolo se implementó como una API pública y ahora lo consumen varios sitios web y servicios, incluidos los administradores de contraseñas [17] [18] y las extensiones del navegador . [19] [20] Este enfoque fue posteriormente replicado por la función Password Checkup de Google . [21] [22] [23] Ali trabajó con académicos de la Universidad de Cornell para desarrollar nuevas versiones del protocolo conocido como Bucketization de suavizado de frecuencia (FSB) y Bucketization basada en identificadores (IDB). [24] En marzo de 2020, se agregó relleno criptográfico al protocolo. [25]

Implementaciones de verificación de credenciales comprometidas

Véase también

Referencias

  1. ^ "Relleno de credenciales". OWASP .
  2. ^ "Informe sobre el derrame de credenciales" (PDF) . Shape Security. Enero de 2017. pág. 23. La herramienta de robo de credenciales más popular, Sentry MBA, utiliza archivos de "configuración" para los sitios web de destino que contienen toda la lógica de secuencia de inicio de sesión necesaria para automatizar los intentos de inicio de sesión.
  3. ^ "Uso de herramientas de relleno de credenciales". NCSC .
  4. ^ "Llamada de atención sobre los malos hábitos de los usuarios en materia de contraseñas" (PDF) . SecureAuth. Julio de 2017. Archivado desde el original (PDF) el 2018-08-12 . Consultado el 2018-07-11 .
  5. ^ "Mantén la seguridad: exige contraseñas y autenticación seguras". Comisión Federal de Comercio . 2017-08-11 . Consultado el 2021-04-11 .
  6. ^ Ghosemajumder, Shuman (4 de diciembre de 2017). "No se puede proteger el 100 % de los datos el 100 % del tiempo". Harvard Business Review . ISSN  0017-8012 . Consultado el 11 de abril de 2021 .
  7. ^ "¿Qué es el relleno de credenciales?". Wired . ISSN  1059-1028 . Consultado el 11 de abril de 2021 .
  8. ^ Shanker, Ed (8 de marzo de 2022). «Relleno de credenciales» . Consultado el 19 de mayo de 2023 .
  9. ^ Chickowski, Ericka (17 de enero de 2017). "Los ataques de robo de credenciales arrasan con los sistemas empresariales". DarkReading . Consultado el 19 de febrero de 2017 .
  10. ^ Townsend, Kevin (17 de enero de 2017). «Relleno de credenciales: una metodología de ataque exitosa y en crecimiento». Security Week . Consultado el 19 de febrero de 2017 .
  11. ^ "Super-mugs: los piratas informáticos afirman haber robado 20.000 registros de clientes de la empresa británica Superdrug". The Register .
  12. ^ "Superdrug rechaza súper rescate después de un supuesto súper atraco - Comunidad de criptomonedas financieras". 23 de agosto de 2018.
  13. ^ "Aviso de sanción monetaria (Uber)" (PDF) . Oficina del Comisionado de Información. 27 de noviembre de 2018.
  14. ^ "GnosticPlayers Parte 1: Una descripción general de los hackers Nclay, DDB y NSFW". Night Lion Security . 2019-12-30 . Consultado el 2022-03-06 .
  15. ^ "Descubre si tu contraseña ha sido pirateada sin necesidad de enviarla a un servidor". Ars Technica . Consultado el 24 de mayo de 2018 .
  16. ^ "1Password se bloquea en una comprobación de 'contraseña pirateada' - TechCrunch". techcrunch.com . 23 de febrero de 2018 . Consultado el 24 de mayo de 2018 .
  17. ^ "1Password se integra con 'Pwned Passwords' para comprobar si tus contraseñas se han filtrado en línea" . Consultado el 24 de mayo de 2018 .
  18. ^ Conger, Kate. "1Password te ayuda a descubrir si tu contraseña ha sido pirateada". Gizmodo . Consultado el 24 de mayo de 2018 .
  19. ^ Condon, Stephanie. "Okta ofrece autenticación multifactor gratuita con un nuevo producto, One App". ZDNet . Consultado el 24 de mayo de 2018 .
  20. ^ Coren, Michael J. "La base de datos de contraseñas pirateadas más grande del mundo ahora es una extensión de Chrome que verifica las tuyas automáticamente". Quartz . Consultado el 24 de mayo de 2018 .
  21. ^ Wagenseil I, Paul (5 de febrero de 2019). "La nueva extensión de Chrome de Google encuentra tus contraseñas pirateadas". www.laptopmag.com .
  22. ^ "Google lanza una extensión de verificación de contraseñas para alertar a los usuarios sobre violaciones de datos". BleepingComputer .
  23. ^ Dsouza, Melisha (6 de febrero de 2019). "La nueva extensión de Chrome de Google, 'Password CheckUp', comprueba si tu nombre de usuario o contraseña han sido expuestos a una violación de seguridad por parte de un tercero". Packt Hub .
  24. ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 de noviembre de 2019). "Protocolos para comprobar credenciales comprometidas". Actas de la Conferencia ACM SIGSAC de 2019 sobre seguridad informática y de las comunicaciones . Nueva York, NY, EE. UU.: ACM. págs. 1387–1403. arXiv : 1905.13737 . Código Bibliográfico :2019arXiv190513737L. doi :10.1145/3319535.3354229. ISBN 978-1-4503-6747-9.ID S2C  173188856.
  25. ^ Ali, Junade (4 de marzo de 2020). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". El blog de Cloudflare . Consultado el 12 de mayo de 2020 .
  26. ^ Ali, Junade (21 de febrero de 2018). "Validación de contraseñas filtradas con k-Anonymity". El blog de Cloudflare . Consultado el 12 de mayo de 2020 .
  27. ^ Ali, Junade (5 de octubre de 2017). "Mecanismo para la prevención de la reutilización de contraseñas mediante hashes anónimos". PeerJ Preprints. doi : 10.7287/peerj.preprints.3322v1 . Consultado el 12 de mayo de 2020 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  28. ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (4 de septiembre de 2019). "Protocolos para comprobar credenciales comprometidas". arXiv : 1905.13737 [cs.CR].
  29. ^ Thomas, Kurt; Pullman, Jennifer; Yeo, Kevin; Raghunathan, Ananth; Kelley, Patrick Gage; Invernizzi, Luca; Benko, Borbala; Pietraszek, Tadek; Patel, Sarvar; Boneh, Dan; Bursztein, Elie (2019). Protección de cuentas contra el robo de credenciales con alertas de violación de contraseñas. págs. 1556–1571. ISBN 9781939133069.
  30. ^ Cimpanu, Catalin. "Google lanza la función de verificación de contraseñas y la agregará a Chrome a finales de este año". ZDNet . Consultado el 12 de mayo de 2020 .
  31. ^ Wang, Ke Coby; Reiter, Michael K. (2020). Detección de robo de credenciales de un usuario en sus propias cuentas. pp. 2201–2218. arXiv : 1912.11118 . ISBN 9781939133175.

Enlaces externos