edición general
290 meneos
3737 clics
Filtración de datos de Linkedin: 500 millones de cuentas vulneradas (2021)

Filtración de datos de Linkedin: 500 millones de cuentas vulneradas (2021)

Los datos de 500 millones de usuarios de LinkedIn han sido recopilados y están a la venta en Internet. La base de datos de la web para buscar trabajo ha sido descubierta por CyberNews, donde además los hackers han ofrecido un registro de 2 millones de personas como prueba de la existencia de la base de datos. Los datos han sido puestos a la venta en RaidForums, igual que los de Facebook. En este caso, el dueño de los datos está pidiendo al menos cifras de 4 dígitos por los datos como mínimo a cambio de la base de datos completa.

| etiquetas: linkedin , filtración de datos , ciberseguridad
Yo salgo muy guapo en la foto, a lo mejor me contacta una rusa...
#1 una rusa siempre es una rusa....merece la pena tomar el riesgo :-)
#2 ruleta rusa
#1 Que rule mi CV... :troll:
#1 o un ruso
#8 Conseguir las contraseñas y correos de gente que utiliza su correo principal en Linkedin y que reutiliza esa misma contraseña para el correo y todos los demás sitios que se registra.

También para vender los correos para listas de spam.
#19 No pone que se hayan filtrado contraseñas, eso baja mucho el precio.
#19 En la página esa de haveibeenpowned mi correo se ha filtrado unas cuantas veces, por suerte uso un gestor de contraseñas y nunca las repito.
Pero el caso es que me encuentro casos raros como por ejemplo que no puedo hacerme una cuenta de Uber porque mi correo está en uso en Uber Kazajistán. Cómo han conseguido validar mi email sin que yo lo sepa se me escapa. Igualmente cuando me di de alta en Apple vi que mi correo estaba ya en uso por un mexicano, que tenía sus datos personales ahí metidos asociados a mi cuenta de correo. No sé cómo es posible porque yo nunca validé mi email. El caso es que él mexicano se quedó sin cuenta. Y el de Kazajistán aún no porque realmente no uso Uber
#30 Hola, me llamo Jason y te agradesco de antebraso tu identidad para poder escapar de los malos en Kazajistan.
#30 a mi correo llegan cosas de:

Un abogado argentino que lleva casos laboralistas.
Un ecuatoriano de la industria del petróleo que coordina prospecciones.
Un contratista de California que repara tejados.
Un andaluz que se registra en todas las páginas de contactos con maduritas.
Uno de Valladolid que tiene asegurado un Renault Laguna.
Uno de Michigan que tiene asegurado un Mini Cooper.
Un filipino que tiene cuenta bancaria pero la usa poco.
Un argentino que tiene tarjeta de crédito, no sé si es el abogado u otro.
Uno que vende cuentas de Spotify robadas en Milanuncios. Ese lo quité por si acaso.
Uno que vive en la India y se suscribió al boletín de noticias de Modo.

No sé si me dejo algo de la carpeta de spam
#41 pensaba que esas mierdas solo me pasaban a mi... En mi caso el más cachondo es un cargo político medio alto de trata de residuos (basuras) de México que tiene una cuenta en delaware... xD
#41 joder pensaba que era el único, a mi también me llega correos del seguro de hogar de una señora de Córdoba y durante muchos años me llegaban de la cuenta oficial del senado mexicano los PDF con las nóminas de un senador mexicano cuyo nombre era parecido al mío excepto por una letra. A estos les escribí en numerosas ocasiones pero nunca me hicieron caso hasta que el tío se retiraría, imagino.
#41 Y yo pensaba que recibir las facturas de telefono y extractos de la tarjeta de credito de un peruano era raro (al menos coincidimos en iniciales)
#41 a mi de un mexicano también, de nombre parecido al mío, que cobra por semanas....
Llevo un mes sin el correo de su nómina, espero que no lo despidieran, le estaba cogiendo cariño..

Keytronic Juarez, SA de DV
Magneto #950
Parque Industrial Gema
Ciudad. Juarez, Chih. Mexico
C.P. 32380
#30 Son unos hijos de perra. Dan de alta a la gente sin validar su mail. Yo tengo un mail de nombre muy genérico y te sorprenderías la enorme cantidad de webs de sitios importantes que no validan el email. Luego te toca luchar con ellos y algunos no son capaces de reconocer su error.
#30 "por suerte uso un gestor de contraseñas y nunca las repito."

:roll:

www.meneame.net/story/descubren-lastpass-rastrea-usuarios-envia-datos-
#59 En mi caso keepass, archivo local que tengo guardado en Dropbox para tener acceso desde móvil. Si Dropbox es comprometido al menos tendrán que pasar un tiempo desencriptando el archivo. Para contraseñas no me fío de los servicios en la nube.
#30 Si es de gmail, puede que sea por los alias.
Por ejemplo, sería el mismo buzón de correo:

nombreapellido at gmail.com
nombre.apellido at gmail.com

www.htstechtips.com/2010/09/24/multiple-google-email-addresses-one-gma
#30 Recibo correos de un piloto de línea aérea mexicana con sus nóminas y planes semanales de trabajo.
Lo he avisado 3 veces a la aerolínea y nada.
#85 joder, qué les pasa a los mejicanos xD xD
#30 Igual ya lo sabes, pero si usas Gmail se puedes usar alias de tu email. Por ejemplo, te podrías registrar con gilipipas+uber@gmail.com y que le den al de Kazajistán. También es útil para saber quién ha compartido tu correo.
#19 en cualquier sitio a día de hoy las contraseñas están hasheadas con salt así que se pueden aburrir para sacarlas en claro (ni con Rainbow tables ni leches que para eso es el salt) y si con GPUs si es hash usado es de los que tienen vulnerabilidades igual tendrían alguna oportunidad, pero vamos que huele a que han recopilado datos públicos y poco más, de ahí que pidan ese precio

Edito... Oportunidad para sacar de una en una en plazos de tiempo razonables
#43 Te sorprendería la cantidad de sitios que no usan salt, o usan cifrados obsoletos (MD5, etc). Siempre mucho cuidado.
#43 #57 LinkedIn cuando fueron hackeados hace unos años, aún no usaban salt y le pudieron sacar la contraseña a Trump (yourfired), que además reutilizaba en Twitter.
#64 Joder... no me lo creia y acabo de buscarlo, pero como pudieron ser tan inutiles?
#95 Si, es flipante, espero que en 2021 estén mejor preparados que en 2012 :palm:
#57 Se supone que likedin al ser propiedad de microsoft esas cosas las deben de tener en cuenta.
#57 Mira que he trabajado en sitios de mierda y en todos salt y sha256 (o similar) pero si supongo que de todo habra... recuerdo cierto trabajo que la empresa tenia certificaciones tipo PCI y las tarjetas estaban hasheadas sin salt xD totalmente ridiculo.
#19 Nadie guarda contraseñas hoy en día , se guardan hashes. Da igual que se lleven las contraseñas guardadas de la base de datos, pues es imposible hacer la operación inversa y obtener la contraseña en texto claro del hash.
#67 Eso de nadie... Probablemente en los más masivos y auditados sea así, pero muchos guardan en plano todavía.
#70 A mi se me ponen los pelos de punta cada vez que en un banco al cambiar la contraseña dicen (caso real): "La contraseña debe ser entre 5 y 8 caractéres compuesta por números y letras mayúsculas". Otros tienen limitaciones de 10-12 caracteres.

Si guardan sólo un hash no debería ser problema cualquier longitud o caractéres, así que siempre pienso que en algún momento lo están guardando en texto plano en un campo con VARCHAR(8) en la BBDD...
#83 Totalmente, además que el método 2FA que usan es un SMS, ampliamente conocido como inseguro, que entiendo mejor que nada si que es, pero ni siquiera dan la opción a usar un OTP. Lo que supongo si harán es tener un límite de intentos bastante bajo para compensar.
#83 esas cosas se comprueban antes de guardar la contraseña, como es lógico. No es ningún problema.

Lo chungo es cuando el banco te pide "escriba la tercera y quinta letras". Ahí sí que la tienen en plano.
#91 eso es lo lógico, pero ¿que sentido tienen esas limitaciones si antes de guardarlo se hashea?
Una vez aplicado el hash es indistinguible el tipo de caracteres usados, por no decir que obligarte a que tu clave sea ente 5 y 8 caracteres la deja muy muy vulnerable a ataques de fuerza bruta si se filtra el hash
#98 Es verdad que poner un límite máximo no tiene ningún sentido, no te había entendido esa parte. Huele a que algo están haciendo mal, sin duda.
#91 Resucito el hilo porque me acabo de acordar... :-)

Cuando pides en tu oficina el PIN de 4 dígitos de tu tarjeta porque te has olvidado... y te lo dan impreso, pero no uno nuevo, sino el mismo que pusiste tú al cambiar el que venía de serie.

Vamos, que al menos el PIN puedo garantizar que se almacena en plano. Más te vale usar PINes diferentes para cada tarjeta.
Os llamarán para ofreceros un trabajo mejor remunerado.
#3 Salió a por trabajo...
4 dígitos es ridículo, esos datos son mucho más valiosos.
#4 Pues no lo sé. ¿Qué datos exactamente tienen de los usuarios? Porque la mayoría es público... El mail (aunque hay gente que lo tiene visible), supongo que la contraseña (aunque vandalizar el linkedin de alguien tiene un valor muy limitado). Y supongo que cosas como lugar de nacimiento y cosas así.
Hablo desde el desconocimiento, pero si piden "4 dígitos" seguramente es que no se puede pedir mucho más porque nadie lo va a pagar.
#8 Emails funcionales de trabajadores de un perfil medio. Bastante valor.
#8 Al contrario de otras páginas, en LinkedIn solemos poner datos verdaderos. Creo que esa información tiene más calidad que la de FB.
#62 bueno... hay mucho fantasma por ahí suelto. Yo lo veo sobre todo en la de "Nivel de inglés". :-D
#8 Es la segunda vez que hakean la cuenta de LinkedIn. Y la segunda vez que me toca cambiar todas las claves. Cabrones !
#4 Ahora lo comprobaremos al fin. Si son tan valiosos, pagarán más.
#4 "el dueño de los datos" :troll:
#4 si hablamos en Bitcoins, pues es un pico
#4 será de bitcoins.

edit: me repito (#45) :roll:
#4 igual son bitcoins...
#4 De Bitcoins no :-D
A tomar por culo no vuelvo a darme de alta en nada, mis datos se han filtrado ya en MySpace, Yahoo, Lastfm...
#10 Sólo nos queda mnm intacto.

:roll:
#10 Por eso nunca hay que registrarse con datos reales en ningún sitio.
#28 lo malo es que si te registras en Linkedin con un alias, luego le contactan a él :-/
#10 Yo en casi todo me doy de alta con una cuenta de email temporal, por ejemplo esta
www.emailtemporalgratis.com/
Y en cuanto a facilitar algún número de tarjeta siempre una tarjeta virtual que caduque a los 2 o 3 meses y cuando hace falta la renuevo.
Pues que me digan la contraseña, que yo hace tiempo que la olvidé. Y el e-mail que usé hará lustros, ni idea por dondandará.

:roll:
#12 Yo estoy igual. Perdí mi contraseña de Instagram y parece que puse mal el email. Mi única oportunidad para recuperar la cuenta es que se filtren los datos.
#25 O te abres una cuenta nueva con el email correcto :roll:
#33 tampoco te creas que me importa mucho, pero si, es lo que terminé haciendo al ver que no existe la posibilidad de acceder. No hay un servicio de atención al cliente, ni un mísero sistema de tickets para abrir incidencias. No somos usuarios, somos productos.
#25 y como coño validaste la cuenta?
#48 buena pregunta. Yo creo que no me llegaron a pedir el emai de validación. El caso es que si no tienes acceso al email, estás jodido.
Para el que se descargue el fichero, lo primero es lanzar un "grep -v "Inglés nivel medio" y de España ya quedarán cuentas para tratarlas en un excel
El titular en Techrepublic insinua que los datos han sido simplemente scrapeados: www.techrepublic.com/article/data-scraped-from-500-million-linkedin-us
Osea como mucho tendrán lo que ya tenéis visible. Si es cierto, "sólo" pueden ser usados para phishing.
#37 eso explica su bajo precio.
#37 O para que me contraten para que haga phishing :troll:
#37 sospechaba esto, gracias por confirmarlo.
Menos mal que el 90% son datos falsos
#22 ¿quieres decir que no todos son superfelices trabajando con un equipo maravilloso del que aprenden muchísimo y asumiendo nuevos retos para desarrollarse como personas?
#22 Inglés nivel medio :troll:
"Su clave no es suficientemente segura". Cada vez que veo esta mierda en un página web me acuerdo de estas filtraciones. ¿Queda alguna página web que no haya sufrido un hackeo? Yahoo, Paypal, Facebook, las de citas...

Habrá que aceptar que tus datos van a quedar expuestos, poner los que no te importe que sean públicos y usar 1234 como contraseña.
#15 o usar un gestor de contraseñas y una contraseña distinta para cada web
#23 Una contraseña y usuario diferente para cada sitio.
#23 Ten cuidado con el gestor de contraseñas www.genbeta.com/seguridad/lastpass-hackeado-este-es-el-gran-peligro-de

(Y no es el enlace que quería, el hackeo al que quería hacer referencia es posterior)
#26 Entiendo tu argumento y tienes razón.

Yo uso en de Google porque igualmente si hackear Google ya tienen toda la información que pueden necesitar sobre mí, así que unas compañeras más no van a hacer más daño.
#72 mira en #39

El corrector ha hecho de las suyas, pero creo que se entiende.
#23 Y si hackean el gestor de contraseñas?
El "dueño" de los datos?? Más bien el ladrón de los datos. Sólo faltaba que por robar algo te convirtieras automáticamente en su dueño...
No gano para sustos.
#31 Eso serían 8 euros. Para hacer la conversión he tenido que contar con los deditos, como los niños pequeños, pero al menos lo he conseguido, así que me consuelo un poco.
Si tus datos están en alguna plataforma de Internet es cuestión de tiempo el que se filtren, una y otra vez.
Borré mi cuenta cuando la compró Microsoft. Seguramente sigan teniendo mis datos.

Alguna web de estas tiene que ser porque 80 llamadas en una semana de spam no es normal. Afortunadamente el teléfono las bloquea.
#29 te dicen que borraste tu cuenta...
#52 Eso mismo
Una de las cosas por las que mis allegados me preguntan: "¿por qué no estás en Linkedin?"

A lo que yo siempre respondo:

"¡Es una red (a)social!" - Y desde hace unos años añado: "¡¡y ahora es de MICROSOFT!!" En su momento pudo haber sido puntera en cuestiones laborales pero no deja de ser mercadeo puro. Aunque las tecnologías han cambiado el paradigma de la búsqueda de empleo trata de un concepto que nunca me gustó, además que desde hace 5 años tus datos PERSONALES fueron a parar a esa multinacional norteamerciana, claro.
#31 puto genio
4 dígitos? les ofrezco 1000 euros.
#13 También les pueden ofrecer 0002 euros (al fin y al cabo, el 0 es un dígito :troll: )
#18 ofrezco 1000 euros en binario
#18 Pues ofrece 0,001.
Conclusión, cuantos menos perfiles tengas en Internet, mejor
¿Un 6-7% de la población mundial tiene cuenta en LinkedIn? Me parece una pasada.
¿Hay algún tipo de penalización a estas empresas por este tipo de fuga de datos?
Porque estoy bastante harto de que yo me curre unas contraseñas de la leche para que siempre acabe siendo culpa de las grandes empresas mis "robos" de datos.
pues la multa que les puede caer puede ser tela
#5 es lo que tiene la delincuencia
A helloGames les hackearon twitter con algo así.
Cuando publicaron el mitico twit: "No Man’s Sky was a mistake"
Cifras de cuatro dígitos? Está pidiendo 3000 pesetillas por 500 millones de usuarios? juas juas que pringado
que raro ¿el facebook de los curritos teniendo vulnerabilidades? Me da mas que han vendido los datos y nos lo venden como un ataque :P...Igual que cuando wassap dijo q iba a empezar hacer con nuestros datos lo que ya venia haciendo desde que facebook tomo el control..
Yo creo que los servicios cloud y los data centers que gestionan servidores y backups deberían de empezar a aumentar su seguridad, viendo lo que pueden y a lo mejor están ganando sus empleados mas criminales ...
Los datos de esa cuenta son más falsos que la burra berico, yo tengo puesto nivel medio de inglés :-)

Lo mejor es lo que ya han comentado, contraseña distinta para cada cuenta o al menos varios niveles de contraseña e ir cambiando periódicamente o cuando hay fugas.
Que bien, ahora me llamarán para ofrecerme inversiones en criptomonedas y podré charlar un rato, a falta de testigos de jehova.
«12
comentarios cerrados

menéame