07 octubre 2009

¿Qué ha ocurrido realmente con Hotmail?


Si os digo la cifra de "10.000", vosotros decís Hotmail ¿verdad? Sobran las palabras. Si vas al colegio, universidad o trabajo, con sólo preguntar algo así como "¿Te has enterado de lo de las 10000?", no hace falta decir nada más para saber de que se está hablando. Salió en blogs, salió en toda la prensa online, y en unas pocas horas saltó a la prensa escrita y en televisión: Se habían publicado en internet una lista de más de 10.000 cuentas de Hotmail con su correspondiente contraseña. Y parecía que sólo era una parte (direcciones que empezasen por a y b), por lo que se recomendaba cambiar la contraseña urgentemente en caso de tener una cuenta en el servicio de correo de Microsoft.
La página Neowin daba esta noticia, y se propagó al resto del mundo como la gripe A: con caos, desconocimiento, aprovechamiento, malicia, amarillismo... Viendo titulares y posts de blogs, hagamos la reflexión de cosas que han pasado y cosas que no han pasado:

- Teoría 1: Windows Live Hotmail había sido comprometido: Dado el grandísimo número de cuentas listadas, su ordenación de "a" a "b" (evidenciando que había más listas), y sobretodo, que la mayoría (¿casi todas?) funcionaban correctamente, parecía ser que habían conseguido pinchar al gigante, y estaba sufriendo una gran hemorragia de cuentas y contraseñas. Yo personalmente, no me lo creía, no se, tenía la corazonada (no quiero risas...) de que no iban por ahí los tiros. De todas formas, Microsoft informó que ya estaba estudiando el asunto.

- Teoría 2-a: Comprometido un servicio legítimo que necesitase credenciales de hotmail: No sé si lo habrá realmente, pero también podría ser, alimentado por lo comentado antes: eran demasiadas cuentas válidas y dudaba que Hotmail se hubiese roto (salió el comunicado de Microsoft diciendo que en ningún caso se trataba de una falla de seguridad en sus sistemas, y yo les creo)

- Teoría 2-b: Descubierto el mayor phishing de Hotmail: Microsoft se pronunció, y dijo que en ningún caso se trataba de un fallo interno de su sistema de correo, así que lo más posible es que las cuentas fuesen obtenidas mediante el típico phishing de "Mira quién te ha no admitido.org", "Mete tu cuenta y te damos 1000 emoticonos.net", "Adivina dónde estás con tu cuenta de hotmail.com" o mi favorito (porque llevamos 15 años así) "Mete tu cuenta para salvar a Hotmail que lo van a quitar o lo hacen de pago.org". Podréis visitar este post de SpamLoco para conocer un poco más sobre este tipo de mecanismos.



Para mi esta teoria es la que más fuerza tiene, pero eso si...el servicio que ofrecía el phishing debía ser muy válido y no descubierto por nadie, porque tantísima cuenta obtenida es algo bastante raro (si, sigo creyendo en la gente todavía...). O espera...¿y si se trataba de una red de páginas que, con el mismo fin, han conseguido una grandísima lista de cuentas válidas de incautos que todavía no saben que en las últimas versiones del protocolo no es posible saber quién te ha eliminado del msn?

¿Y si el leak de cuentas en pastebin, primer lugar dónde se distribuyeron las 10.000 contraseñas, no era más que un preview de alguien que estaba apunto de vender LA lista con todas las cuentas válidas obtenidas a lo largo de X años de fraude por muchísimo dinero?

Si, imaginaros la situación, como cuando estás en una discoteca y un señor te mete en la boca (pastebin) una pastilla (10.000 cuentas de correo con contraseñas), y si quieres más (cuentas) porque te ha gustado la mercancia (comprobación de que has conseguido acceder correctamente a algunas cuentas) ya te pasará más.

Microsoft ya ha iniciado el proceso de "recuperación" de cuentas, para todos aquellos afectados. Ahora sale a la palestra que es posible que se han liberado cuentas válidas de gmail y yahoo también.

Cuando pastebin estos días seguía permitiendo la búsqueda de contenido en sus ficheros (ahora están con la limpieza de las listas y no es posible realizar búsquedas relacionadas con este tema), intentamos buscar dicha lista, encontrándonos una con más de 10.000 pares de cuentas con contraseña. No estaban ordenadas de a a b, por lo que parecía ser que no era el fichero en cuestión del que tanto se hablaba.

Una vez analizadas las cuentas, y realizando las pruebas mínimas de estadísticas sobre fortaleza en las contraseñas, parecía ser que en realidad se trataba de cuentas obtenidas mediante un phishing relacionado con la página Neopets, una comunidad con animales virtuales. ¿Por qué creemos esto? En primer lugar, el top de contraseñas utilizadas para esas casi 11,000 cuentas eran nombres simples de animales, y además, como contraseña también se había utilizado mucho la palabra "neopets".



Buscando e investigando, damos con posts en foros comentando la gran cantidad de phishings que hay en la red para intentar ganar puntos en esta comunidad, robando cuentas de otros.

Otro fichero con cuentas de correo que empiezan por a y b, y al lado sus contraseñas ha caído en nuestras manos. La gran mayoría de hotmail.com, pero hay otros muchos dominios implicados (ya sabemos que desde hace tiempo, no es necesario una cuenta de hotmail.com o live.com para entrar al MSN Messenger). Puede ser o no el referenciado por neowin, podría ser fake obviamente, pero creemos que tiene buena pinta. Analicemos las contraseñas de dicho fichero, imaginándonos que se trata del que ha supuesto tantos dolores de cabeza para mucha gente.



* En primer lugar, llama la atención que haya cuentas repetidas, con baile de caracteres en algunos casos, además de en sus contraseñas. Tambien, hay muchos errores a la hora de escribir el dominio asociado (hotmailcom, hotmailc.om, hotmeil.com, hotmai.fr....). Con este hecho podríamos decir que las cuentas se han obtenido por su introducción en un formulario, no sacadas de una base de datos de un servicio que funcione legítimamente (es decir, no se realiza una comprobación de la cuenta una vez introducida).

* También han quedado registrados intentos con palabras como asd, asdf, asdafasf, etc...seguramente introducidos por los que no se fiaban un pelo del tema. Minipunto para ellos.

* Como dato muy aislado, existe una cuenta en el fichero cuyo dominio corresponde con "borrame.net". Si lo buscáis por google, sabréis perfectamente a que se dedicaba hace un tiempo antes de desaparecer...curioso cuanto menos.

* Sigamos con las contraseñas como tal. Estadísticas, teniendo en cuenta fallos de introducción en los datos, repeticiones, equivocaciones y demás. A pesar de todo, podemos hacernos una idea de la política que siguen muchos usuarios a la hora de elegir sus contraseñas (curiosamente, muy hispanas...):
  1. Top de contraseñas utilizadas:
    • 123456
    • 123456789
    • alejandra
    • 111111
    • tequiero
    • alejandro
    • alberto
    • 12345678
    • 1234567
    • ESTRELLA
    • daniel
    • roberto
    • iloveyou
    • AMERICA
  2. Contraseñas únicamente compuestas por números: 20% aprox.
  3. Contraseñas únicamente compuestas por minúsculas [a-z]: 45% aprox.
  4. Contraseñas únicamente compuestas por mayúsculas [A-Z]: 3% aprox.
  5. Dominios hotmail.com: 80% aprox.
  6. Otros dominios:
    1. hotmail.[it|fr|..]
    2. gmail.com
    3. live.[es|com|se|fr|it|com.ar|mx...]
    4. yahoo.[es|com|mx|com.ar|fr...]
Desde SecurityByDefault os recordamos este post de concienciación sobre vuestras contraseñas.


¿Tenéis alguna teoría más de las aquí mostradas? Lo que está claro es que estos días, irán saliendo más datos sobre este hecho.

13 comments :

lol dijo...

No me querría ni imaginar qué pasaría si el site de ebuddy fuera el maliigno... O si más no, que fuera el hackeado. Perfectamente se podrían conseguir tantas contraseñas.

Dadas las dimensiones de los datos, o se trata de phishing o de un bug en algún servidor. Con eso quiero decir, que dudo mucho que se trate de ingenieria social a la antigua (con el mail fake y demás).

Hasta puede que se trate de las dos cosas. Podría ser que hubieran sites haciendo pidiendo contraseñas para saber si te han eliminado, otros permitiéndote conectar al misenyer, etc i hasta mails fake.

Creo yo que con una lista tan larga (y no sólo de hotmail) o se necesita mucho tiempo, i/o mucha gente, i/o muchos engaños i/o automatización. Como habéis comentado, dudo que haya automatización. No creo que nadie haya hackeado a hotmail/gmail/yahoo etc. Sin embargo, podrian haber hackeado sites como ebuddy y demás.

En fin, yo creo que hay mucha gente implicada en esta trama. Y sinó, un servicio importante comprometido!

Saludos, Newlog

Scan dijo...

¿Y si el hackeo no ha sido a hotmail? ¿Y si es un caso del cazador cazado?

Alguien podria haber rastreado y hackeado alguna web de phising estilo "quien te ha borrado", o el de los 1000 iconos que comentais.

El autor puede haberlo hecho con el fin de sacar dinero vendiendo esa lista o para forzar a la gente a que se cambie las contraseñas y fastidiar estos negocios...

no se...

Javier I. Sampedro dijo...

Suerte que mi cuenta no ha sufrido de ello aunque si que se de algunas que han estado no del todo operativas hasta que a las horas han vuelto a funcionar pero forzando al cambio de contraseña por seguridad.

Aún no se como es que la gente está tan poco concienciada para usar contraseñas algo más complejas y caen siempre en las más típicas.. a ver si esto sirve de ejemplo, no?

José A. Guasch dijo...

@Scan, digamos que lo que comentas es la teoria 2a pero sin la parte de "servicio legítimo" jeje

También es muy posible, pero lo que tiene que quedar claro, a diferencia de lo transmitido por muchos medios, es que Hotmail no ha sido comprometido y todo el mundo NO tiene que cambiar sus passwords

SpamLoco dijo...

En lo primero que pensé fue en los sitios famosos para saber quien te bloquea, ver los historiales, etc... generalmente el que tiene uno de estos sitios, tiene varios -y en varios idiomas- porque al poco tiempo te bloquean la URL, los mails spam no llegan, etc y lo más fácil es cambiar de "nombre".

Algunos de estos sitios reciben muchas visitas, seguro la mayoría de los que entran proporcionan su mail... digamos que entran 20 mil por día, ¿cuántas contraseñas podrían quedar almacenadas?, siempre y cuando las guarden claro está, pero eso es algo que no podemos saber.

Hace un tiempo tome una captura de Alexa de varios sitios que estaba siguiendo de cerca para compararlos, y los picos de visitas que recibían eran bastante interesantes.

Una vez incluso llegué a conocer al dueño de uno que tenía un boom importante de visitas y me comentó que no robaban los datos, perfectamente lo podían hacer pero sólo lo hacían por el dinero que generaba la publicidad y el tráfico. Curiosamente yo había hablado bastante mal de su sitio, así que el encuentro fue raro xD

Lo otro que se me ocurre son las páginas que te permiten enviar postales falsas, típicas para robarle el pass a la novia, la vecina y todas sus amigas, en esas páginas los webmaster recopilan la información y los que hacen "el trabajo", por decirlo de alguna forma, son los "usuarios".

Saludos.

Ivan de la Jara dijo...

¿Realmente creeis que 10mil cuentas de hotmail son muchas? porque cualquier web tiene acceso a mas teniendo en cuenta que mucha gente usa la misma contraseña para todo, la mayoria de la gente...

José A. Guasch dijo...

@Ivan de la Jara, justamente enlacé nuestro post de recomendaciones sobre contraseñas precisamente por el consejo de no utilizar una misma contraseña para todo.

Tengo constancia que muchas de las cuentas de la lista, eran perfectaente válidas en servicios como facebook...

Yago Jesus dijo...

@Newlog sorry por el tema de los anónimos, ha sido algo eventual

Manuel dijo...

Malware.

Fácilmente. Si tienen suficientes equipos con malware tipo keylogger, conseguir 10.000 cuentas es trivial.

Manuel dijo...

Malware.

Malware con keylogger, el modo más sencillo.

seifreed dijo...

Yo coincido mas con la idea de que han robado las cuentas de otros sitios no de Hotmail.

Saludos

Anónimo dijo...

La gente va dando su password de hotmail al primero que se lo pregunta. Como decís, a servicios de "quien me ha borrado de hotmail" etc.

Luego estan los webmasters no fiables que estan detras de foros o redes sociales minimamente importantes. No digo que haya sido alguien de facebook, pero en muchas redes sociales piden el password de hotmail para enviar spam a tus contactos. Lo fuerte es que la gente lo pone.

Y por último, como comentais, puede haber sido comprometido algun servicio de los anteriormente comentados (es decir, el malvado no es el webmaster, pero sí inútil) sino algun atacante.

como ejemplo la página sexyono.com, que tiene un ventanal abierto de inyección SQL.

Saludos!

Blank-jonis dijo...

se me ha presentado un problema con la seguridad de hotmail, una persona por medio de su pagina se mete a mi correo y me investiga todos mis contacto, y con quien chateo... no se como hacer necesito denunciar esto