07 junio 2012

Comprueba si el hash de tu contraseña de LinkedIn se ha publicado


Son tiempos dificiles para "la nube" y las empresas que triunfan tras montar su negocio en Internet. Tenemos de momento el problemón con el que se está enfrentando CloudFlare y su ataque más que dirigido, detectado el viernes pasado, por parte de alguien que consiguió romper/aprovechar 4 problemas críticos de seguridad, involucrando a Google, AT&T y la propia Cloudfare. Las acciones de Facebook no hacen más que bajar, y de repente esta mañana, otro drama nuevo: Se publican más de 6 millones de hashes de contraseñas de LinkedIn. 


El fichero con tal cantidad de hashes, se publicó en InsidePro, un foro en el que los usuarios comparten sus hashes de contraseñas para que entre varios, se realicen crackeos por partes. 

Caché de Google con el post acerca de los hashes de Linkedin, justo antes de ser eliminado

Los hashes eran SHA-1. El 'leak' se propagó como la pólvora en diferentes lugares de almacenamiento de ficheros, para que posteriormente fueran retirados. Pero durante esta vorágine, varios usuarios reportaban que habían sido capaces de encontrar el hash SHA-1 de sus respectivas contraseñas en dicho dump, y que para la mayoría de ellos, esa contraseña únicamente la utilizaban en esta red social. Ojo, el fichero únicamente contenía hashes de contraseñas, no incluía ninguna cuenta de correo electrónico, por lo que el fin de tal publicación era efectivamente eso, intentar crackear las contraseñas de forma colaborativa, no era un tipico hack buscando fama mediante un pastebinazo, diciendo que viene por parte de LulzSec o Anonymous o UGNazi o .

Los hashes tenían una característica especial: en muchos de ellos, los hashes comenzaban por una cadena de 0s, pero manteniendo los 40 bytes necesarios. De todas las especulaciones, y tras probar con contraseñas típicas como son "password", "facebook", "secret" y demás, se determina que dicha cadena de 0s se utiliza como un posible método por parte del cracker para marcar los hashes de los que ya consiguió obtener las contraseñas correspondientes.

Usuarios en news.ycombinator.com debatiendo y analizando los hashes
Muchos usuarios ya han recibido, por parte de la propia LinkedIn un mail indicando que deben reiniciar la contraseña y otro con algo más de información acerca de este incidente. Si has recibido este e-mail y si con tu contraseña ya no consigues acceder a tu cuenta, quiere decir que LinkedIn ha detectado que si que tu cuenta podría estar comprometida. Siguen investigando y tratando de aclarar que ha podido ocurrir, por lo que en los próximos días seguro que tenemos más detalles.

Para comprobar la contraseña, se recomienda pasarla a SHA-1, coger los últimos carácteres del hash correspondiente y buscarlo en el fichero publicado, pero si no te ha dado tiempo a obtenerlo, hemos creado una pequeña y simple aplicación que permitirá determinar si el hash de tu contraseña se encuentra entre el listado de hashes filtrado.

La aplicación podréis encontrarla en este enlace.


26 comments :

lost-perdidos dijo...

Ya se han petado más del 60%.

Security By Default dijo...

Si ahora mismo, lo que quería el cracker que originalmente publicó el archivo, lo está consiguiendo: que todo el mundo utilice sus CPU/GPU para sacar hashes :)

Fedemustaine dijo...

Hola, gracias a este problema de linkedin descubrí algo que no se si sabias. Al enterarme de esto ingrese vía web y cambie el password, como un salame tenía la misma en twitter, así que cambie también el pass. Después empeze a putear porque tenía que configurar de nuevo las cuentas en el iPhone y el iPad. Pero o sorpresa las cuentas siguen funcionando, sin haber cambiado las pass. Volví a probar vía web y las pass están cambiadas perfectamente. O sea cada ves que abro esas aplicaciones no hacen autenticidad de pass. Me pregunto? Si le robo a alguien el pass. Lo configuro en mi iPad, voy a seguir teniendo acceso aun que el dueño las cambie. Un horror. Alto bug me parece. Casi epic Fail.

stanleynik dijo...

Ok, y esperan que ponga mi pass de LinkedIn o.O linda ingenieria social se gastan!!

Edu dijo...

¿En serio alguien va a usar esa aplicación? ¿va a dar su clave buena para comprobar si fue robada? ¿tan tontos son algunos?

Nanai dijo...

 Si, esta herramienta en un blog de seguridad es como un...FAIL. ¿Quién coño se va a fiar? Deberíais indicar formas para encriptar la pass que no sea una web oinline y luego ya comparar el sha mismo, pero pedir la pass........ Por favor, ingresad la tarjeta de crédito y el pin a ver si estáis en el robo de sony, yo lo miro lo juro.

Inquieto dijo...

Hace ya tiempo que almaceno las contraseñas de mis clientes con sha_256, obvio que requiere más tiempo y recursos pero no es vulnerable.

No Cuela dijo...

La herramienta podría coger los 5 últimos dígitos del hash, no voy a meter mi pass de linkedin tal como dicen ya algunos...

Sergio Conde dijo...

Me parece mal por parte de SBD después de tantas lecciones de seguridad que montéis una aplicación web en la que metes tu contraseña y la envías tan campante:

1) Por un HTTP en claro.
2) A un sitio web que podría almacenar la contraseña para vuestro uso personal. (Ej. generar hashes MD5, SHA1, SHA256... de las contraseñas que los usuarios tienen pudiendo hacer un buen diccionario).

Dicho esto me parece MUY mal este post, tendríais que proveer la lista y enseñar a los usuarios a buscar su contraseña.

Alejandro Ramos dijo...

Claro! Así podremos acceder a tu cuenta porque no has cambiado la contraseña, y porque también has añadido tu usuario!! Luego os añadiremos a todos a la pantoja de puerto rico como broma.

Alejandro Ramos dijo...

Me remito a mi comentario anterior. Lo primero es que no se está guardando la información, y aunque se hiciera, ¿qué más da? ¿sigues usando la misma contraseña?

Alejandro Ramos dijo...

Buenos diccionarios existen desde hace 50 años. Si piensas que con esto se iba a generar un buen diccionario... ¡¡¡Muchos buenos diccionarios te faltan en tu arsenal!!

Adrián Bravo Navarro dijo...

 Eso está claro, pero yo que sé, Alex, no costaba nada pedir el hash en vez de pedir la pass. Seguro que así había mucha menos gente susceptible :)

Lorenzo_Martinez dijo...

Y yo además añado que es como meter en una web cuál es el PIN de mi móvil o de mi tarjeta de crédito, pero sin identificarme, ni a mí como persona, ni mi número de teléfono, ni el número de mi tarjeta de crédito...
Y por supuesto, como dice Alex: CÁMBIALA POR SI ACASO!

SiD dijo...

JOJOJO

Buen ZAS

SiD dijo...

Y una vez más queda claro por qué la ingeniería social funciona tan bien como funciona. Se desconfía de quien se tiene que confiar y se confía en el que no.

Yo creo que con la primera contestación de Alejandro las cosas han quedado muy claras ya. Si no lo han pillado, no lo van a hacer.

Jartón de reír que me he pegado.

Xumeiquer dijo...

Yo me di cuenta de eso hace ya bastante tiempo, aunque solo con la aplicación de twitter, no se que usarán para hacer el login, pero es un gran fallo de seguridad.

SiD dijo...

Leyendo algunos comentarios...

...eso os pasa por proactivos ;P

Lo único a lo que se le puede poner un pero es en el uso del http.

Si es que sois unos jaxor malotes. Como bien comenta Alejandro, está quedando claro que por aquí el uso del diccionario no es muy común.

Si a estas alturas, y conociendo la noticia, alguien no ha cambiado su contraseña de LinkedIN ya no hay más que hablar. 

Edgar Carrillo dijo...

 jajajaja brutal xD

Jeudiel Guerrero dijo...

Solo pones tu password, no tu cuenta... Si no te fias, pues luego lo cambias.

Security By Default dijo...

Esto es algo más que conocido. La únicamente manera de evitar este comportamiento es desvincular la aplicación móvil desde cada cuenta del servicio, y volver a vincularla. Si no, la autenticación seguirá realizándose mediante una cadena de texto intermedia (hash o lo que sea, api_key, etc) que se utiliza para ello. Id a twitter, y dentro de las aplicaciones que tenéis aprobadas, existe una opción de desvincular. Con esto evitaréis que siga funcionando con la contraseña anterior.

En la mayoría de los servicios que cuenta con aplicación móvil propia, primero se debe permitir su acceso al servicio para autenticarse una sola vez

Agus Tin ► dijo...

Tengo una duda. Por qué cuando quiero generar el hash sha1 de, por ejemplo, el string "pepe" desde el generador http://www.onlinehashcrack.com/hash-calculator.php el resultado me da distinto de cuando hago

$ echo "pepe" | sha1sum

???

Gracias!

Madrikeka dijo...

Me alegro de no usar linkedin....

y vamos...que gente y como se queja!!

yo desde el primer momento me he dado cuenta, de que si la metía tendría que cambiarla, creo que es bastante obvio....y eso que en este mundo todavía soy muy nueva.


op! hace mucho que no veo a lapantoja de puerto rico...os podríais currar algo :D

Por cierto...lo importante de aquí, sería discutir como le han "gocheado" tantos hashes a Linkedin......y especular un poco sobre el tema y sobre las posibles vulnerabilidades que puedan existir para que se realizara este "robo".

Ghjtyu dijo...

 usa Android

Dario90 dijo...

Dame el archivo con los hashes, o por lo menos hace un programa para consultar la lista offline asi lo corro en la sandbox con internet desconectado.

Santi dijo...

El primer pass de ese diccionario debería ser la palabra ASNO, jajajajaa