Avui pensava parlar de la segona part dels Petits Grans Problemes, però l’actualitat mana i s’acaba de saber que uns hackers van entrar a l’octubre als servidors d’Adultfriendfinder i es van emportar més de 400 milions de codis d’usuari i contrasenyes, superant el rècord que fins ara tenien els de MySpace que era de 360 milions.
Com veieu el problema es va repetint cada cert temps i és una demostració que, més tard o més d’hora, les vostres dades acabaran en mans no desitjades.
El que fa més greu aquest cas, a banda de la quantitat de codis, més de 400 milions, és que els codis d’usuari no estaven encriptats i les contrasenyes estaven tan mal protegides amb el sistema Sha1, així que més del 99% ja han estat desencriptades per poder fer la següent estadística dels 235 milions de la web principal (
AdultFriendFinder.com):
posició
|
contrasenya
|
freqüència
|
1
|
123456
|
900.420
|
2
|
12345
|
635.995
|
3
|
|
585.150
|
4
|
|
145.867
|
5
|
|
133.414
|
6
|
|
112.956
|
total dels
|
6 primers=
|
2.513.802
|
i no us penseu, el setè ‘classificat’ és la paraula ‘password’ segons els resultats de
leakedsource.
Si estàveu registrats a algun dels serveis d’aquesta gent i sou dels que feu servir la mateixa contrasenya a tot arreu, canvieu les vostres contrasenyes immediatament.
En tot cas, penseu el vostre sistema de creació de contrasenyes i no feu servir la mateixa, i, per fer-ho, no tindreu més remei que utilitzar un bon sistema de recordatori i magatzem de les vostres contrasenyes, com
1password,
lastpass o
KeePass.
Una contrasenya l’hem de fer ‘complicada’ seguint les normes mínimes de creació:
mínim de 8 caràcters
fer servir majúscules i minúscules
fer servir números i signes especials (%*?)
en resum, que el sistema tradicional d’anotar el password a un post-it i enganxar-lo a la pantalla de l’ordinador no és gens fiable ni segur i el nostre cervell millor el tenim ocupat en altres coses més productives o plaents que en recordar la gran quantitat de passwords que necessitem
Què va passar?
Els d’AdultFirendsFinder ja havien estat hackejats el
Maig de 2015 per en ROR[RG] que intentava fer xantatge als d’AdultFriendFinder i els hi demanava 100.000 $ i, aparentment, havien millorat els seus sistemes de protecció, però els hackers han aconseguit les dades de tots els seus webs, entre d’altres el de penthouse.com o
cams.com via el que es coneix com a LFI (Local File Inclusion) o, el que és el mateix, enviar una imatge al servidor amb codi que pot ser executat. Si voleu els detalls, a
CSO, un web ‘IDG tenen molta informació tècnica.
És molt preocupant que s’han trobat molts usuaris amb el mail en format
email @ address.com @ deleted1.com, i això porta a pensar que NO esborraven els usuaris que es donaven de baixa, sinó que anaven guardant la informació de gairebé 16 milions de comptes esborrats.
Dades curioses
L’anglès és l’idioma més usat, amb 249 milions d’usuaris i el castellà el segon, amb més de 63 milions, molt per sobre del xinès.
Hotmail, amb més de 96 milions és el correu més utilitzat, seguit de yahoo (74 milions) i gmail (gairebé 62 milions), recordeu que aquest servei d’AdultFriendFinder és anterior al 2004, any de creació de gmail, per això tenen tants usuaris de hotmail i yahoo.
Els de leakedsource, autors de l’informe, ofereixen un servei gratuït d’avís quan el vostre email surt en algun breach de seguretat.
I, per acabar, alguns consells que he repetit moltes vegades:
Mode incògnit
A hores d’ara tots els navegadors tenen el sistema de navegació en mode incògnit, a Chrome és tan senzill com obrir una nova pantalla en mode incògnit que és una opció al menú d’obrir, i us mostrarà això a la seva pantalla:
Això, com veieu, és un petit detall, el que fa és no guardar les vostres dades de navegació en el vostre navegador i si algú us remena les dades del navegador, no sabrà quins llocs heu visitat perquè no hi haurà rastre a la caché, això és aplicable a totes les versions del Chrome, per ordinador, per telèfon o per tauleta.
També aconseguireu que els llocs webs que visiteu no us deixin cookies en el vostre equip, això si, si marqueu un favorit, quedareu retratats!
Feu servir sistemes de pagament ‘opacs’ i no ‘il·limitats’
La major part d’aquests serveis us demanaran, un moment o altre, que pagueu alguna cosa, bé sigui per accedir als serveis premium, bé per poder interactuar o veure vídeos’, etc. els sistemes que tenen per ‘convenceu-vos’ de pagar són infinits, així que heu de buscar algun sistema que, si les dades surten a la llum, no en puguin fer ús ni us puguin identificar.
El sistema de PayPal és el d’una entitat bancària. Per obrir el compte a PayPal només necessiteu una adreça d’email, la que heu creat fa un moment, però la manera de fer els pagaments és una mica diferent i podeu escollir-lo. Tenen tres sistemes
- pagar només quan tens saldo al compte de Paypal, o sigui que si vols fer un pagament, fas la transferència del teu compte corrent a PayPal abans de fer el pagament, pagues i et quedes sense saldo que et puguin ‘netejar’.
- pagar fent el càrrec contra una targeta de crèdit ‘normal’ d’una entitat bancària vostra, quan pagues via Paypal ells et fan un càrrec a la teva targeta però el proveïdor que rep el pagament només sap el vostre codi d’email dins de PayPal.
- pagar fent el càrrec contra un compte corrent d’una entitat bancària vostra
- tot i això, l’únic que guarda el proveïdor al qui feu el pagament és l’adreça de mail del vostre compte de Paypal, adreça fictícia de gmail, per exemple i ni us podran seguir el rastre, ni us podran netejar el compte corrent i fer pagaments amb la vostra targeta.
Fixeu-vos que tenim un doble objectiu, per un costat evitar fer pública la nostra identitat, però encara més important, que si les dades de pagament cauen en mans poc indicades o es fan públiques, no puguin fer res amb la informació que tinguin de nosaltres.
Les entitats bancàries, diguem-ne tradicionals, han posat en marxa un sistema de targeta de crèdit sense crèdit, només amb el tu ‘carreguis’ a la targeta per competir amb Paypal, els de ‘la Caixa’ li diuen Cybertargeta i amb ella aconseguireu que no us buidin el compte, però no protegir la vostra identitat.