Descobreixen la filtració de 16.000 milions de contrasenyes de Google, Apple i Meta, entre d'altres

S'han descobert 16.000 milions de dades d'inici de sessió que estaven a la venda a internet, una xifra sorprenentment gran i insòlita.

És una de les filtracions de credencials més grans de la història i l'únic que es pot fer per protegir-se és el que ja recomanen empreses i experts: canviar contrasenyes i, sobretot, afegir noves capes de seguretat a l'inici de sessió, com la del doble factor d'autenticació.

Els responsables del descobriment són un grup d'investigadors del mitjà especialitzat en ciberseguretat Cybernews, que, després de començar a pentinar internet a principis d'any, ha acabat detectant fins a 30 conjunts de dades filtrades que no s'havien descobert fins ara.

"El nostre equip d'investigació utilitza tècniques de hacker de barret blanc (hacker ètic) per trobar i divulgar de manera segura amenaces i vulnerabilitats de ciberseguretat a tot el món." Cybernews

Alguns dels conjunts de dades, els paquets de dades filtrades que els cibercriminals posen a la venda, comptaven amb desenes de milions de contrasenyes, mentre que el més gran n'arribava a tenir 3.500 milions. 

El que destaquen els investigadors és que cap d'aquest conjunt de dades havia estat denunciat fins ara, excepte un: el que a finals de maig publicava la revista especialitzada Wired, amb 184 milions de credencials de serveis com Apple, Google o Meta, així com de dotzenes de governs, i del qual no es tenia cap pista sobre l'origen o la propietat.

A quins serveis afecta la filtració?

No és del tot clar. El que expliquen els investigadors és que cada conjunt de dades descobert, arxius amb llistes colossals d'informació estructurada que inclou l'URL del servei, el nom d'usuari i la seva contrasenya, afecta diferents usuaris i serveis. 

Els investigadors, de fet, asseguren que la filtració afecta "pràcticament qualsevol servei en línia imaginable", per després mencionar credencials d'Apple, Facebook, Google, GitHub, Telegram, serveis governamentals... "És difícil que se n'escapi cap quan es posen 16.000 milions de dades sobre la taula".

Tots els conjunts descoberts van estar breument visibles en enllaços temporals que els investigadors van tenir temps de detectar i anotar, però que no van estar prou temps en línia per poder descobrir-ne més detalls, com per exemple a qui pertanyen aquests conjunts de dades massius i si els han venut o distribuït.

Els paquets de dades varien en mida i en nom. Alguns tenen noms genèrics, com "credencials" o "logins", d'altres porten el nom del servei d'on s'han extret (per exemple, Telegram) i altres en mencionen l'origen (Federació Russa). 

El conjunt de dades més petit, que van trobar sota el nom del malware (programari maliciós) utilitzat per extreure-les, incloïa 16 milions de dades. El més gran, "molt possiblement" relacionat amb usuaris de parla portuguesa, inclou més de 3.500 milions de dades. 

La mitjana dels 30 paquets de dades descoberts és de 550 milions de dades a cada conjunt.

Credencials noves i contrasenyes que es revenen

Els noms d'usuari i contrasenyes es filtren i es posen a la venda de forma cada vegada més habitual i, com que els usuaris repeteixen contrasenyes en diferents serveis o no les canvien, una filtració de fa mesos, o fins i tot anys, encara és rellevant avui i té valor de mercat al web fosc. 

Des de Cybernews reconeixen que, tot i que moltes de les llistes de credencials descobertes són recents, és molt possible que alguns dels conjunts incloguin informació repetida, sigui de filtracions passades o en els altres conjunts de dades descoberts anteriorment. 

Segons els investigadors, "la majoria" dels conjunts de dades filtrats són en realitat "una barreja d'informació", amb credencials robades recentment amb programari maliciós (infostealers, sobretot), altres d'aconseguides amb tècniques de ciberatac com el farciment de credencials i, fins i tot, "filtracions anteriors que es reempaqueten" per tornar-los a posar a la venda. 

"En altres paraules, és impossible saber quantes persones o comptes han estat realment exposats." Cybernews

Què recomanen fer els experts en ciberseguretat?

Primer, cal comprovar si les nostres credencials han estat filtrades, tot escrivint el correu electrònic que fem servir per iniciar sessió en serveis com Have I been pwned.

És possible que passi un temps fins que les bases de dades d'aquests serveis s'actualitzin i reflecteixin les noves filtracions detectades, però ens servirà per veure quins serveis ja teníem compromesos.

Segon, cal canviar la contrasenya de tots els serveis afectats, o els serveis més potencialment perillosos, per exemple, el compte de correu electrònic que utilitzem per accedir a molts altres serveis o de xarxes socials.

Fer-ho regularment, amb un gestor de contrasenyes que estableixi contrasenyes sobretot llargues, és una molt bona recomanació.

Tercer, convé afegir mètodes de doble factor d'autenticació sempre que sigui possible. Això impedirà, en la majoria de casos, que cap cibercriminal pugui accedir al nostre compte si només compta amb les nostres credencials.