¿Qué demonios es Collection #1? Según las primeras pesquisas del investigador de seguridad Troy Hunt, la mayor filtración de contraseñas jamás publicada. Contiene cerca de 773 millones de direcciones de correo electrónico únicas y más de 1160 millones de contraseñas, 21 millones de ellas también únicas. La gigantesca base de datos consta de 12.000 archivos separados y mide la friolera de 87 GB. Hunt dice que la encontró en un popular foro de hacking gracias al chivatazo de un contacto.
Tampoco es una filtración nueva. SImplemente es una recopilación de emails y contraseñas que alguien encontró por ahí. Muy probablemente incluye la mayoría de filtraciones gordas que se conocen ya, pero como por lo visto había unos cuantos millones de emails que no estaban en ninguna otra por eso se añadió a la web.
But there is another way and that's by using Pwned Passwords.
Y la intención para la que fue creada la herramienta:
This is a password search feature I built into HIBP about 18 months ago. The original intention of it was to provide a data set to people building systems so that they could refer to a list of known breached passwords in order to stop people from using them again (or at least advise them of the risk). This provided a means of implementing guidance from government and industry bodies alike, but it also provided individuals with a repository they could check their own passwords against.
#2 es seguro, si miras las comunicaciones de esa web, hacen un hash de tu contraseña y lo que mandan es el hash, no la contraseña en claro
Luego hacen lo mismo para comprobar si tu contraseña aparece en alguna lista de estas: hashean todas las contraseñas de esas listas y las comparan con el hash de tu contraseña.
Para los no entendidos en la materia, un hash es una función que produce otra cadena (siempre la misma a partir de los mismos datos) y de la que no se puede obtener de vuelta la cadena original (a diferencia de un cifrado, que podrías descifrarlo para obtener la contraseña original)
Hombre, pues como se dice: "No sé, Rick...". Que cierta cuenta mía aparezca en 3 "páginas" (chinas, y Neteller) y no haya estado registrado en ninguna de ellas pues me parece ciertamente curioso. Lo único que se me ocurre es que alguien con mi contraseña de mi correo se hubiese registrado en esas páginas en su día. Pero no ha pasado nada raro, ningún email nada extraño del banco.
En fin, por seguridad he cambiado la contraseña, pero no entiendo muy bien que mi email aparezca como hackeado (email + contraseña) en un sitio que ni conocía, o conocía de pasadas sin haberlo siquiera visitado como invitado u "offline".
No se si es real o no, por si acaso lo he probado en otro equipo diferente de donde he verificado el correo.. pero una contraseña mía me dice que cero veces, y otra que 7, lo cual me resulta extrañísimo porque es bastante complicado que alguien la tenga... me gustaría ver la forma de comprobar esa contraseña en qué servicios o correos ha sido encontrada.
Se sabe si estan circulando los datos por ahi? La última vez que paso algo así me lo baje (la parte que me interesaba) para saber exactamente qué información tenían de mis cuentas.
Comentarios
#3 Es que en el cuerpo de la noticia, aparece esto "También puedes escribir tu contraseña aquí para ver si aparece en alguna filtración."
#5 Sí, eso es para los que solo tienen una contraseña para todo
#5 Solo usa, en el caso de que la cadena sea más larga de 5 caracteres, los primeros cinco caracteres.
#10 y luego lo combinas con las cookies
#5 Además es cojonudo el sistema, primero compruebas el mail y luego la contraseña. Detras de esto hay algún spammer que se está hinchando
relacionada; "Colección #1" 1.160.253.228 de contraseñas comprometidas. [ENG]
"Colección #1" 1.160.253.228 de contrase...
troyhunt.comTampoco es una filtración nueva. SImplemente es una recopilación de emails y contraseñas que alguien encontró por ahí. Muy probablemente incluye la mayoría de filtraciones gordas que se conocen ya, pero como por lo visto había unos cuantos millones de emails que no estaban en ninguna otra por eso se añadió a la web.
Dupe -> Have I been pwned?, comprueba si tu dirección de correo ha sido comprometida
Hace 10 años | Por pir_pi
a genbeta.com
Publicado hace 10 años por
pir_pi
a
genbeta.com
Have I been pwned?, comprueba si tu dirección de c...
genbeta.com#8 De hace cinco años
Perdonenme, pero no voy a escribir mi contraseña "aquí"
#2 No tienes que escribir tu contraseña, solo tu mail
#3 #2 Del artículo original:
But there is another way and that's by using Pwned Passwords.
Y la intención para la que fue creada la herramienta:
This is a password search feature I built into HIBP about 18 months ago. The original intention of it was to provide a data set to people building systems so that they could refer to a list of known breached passwords in order to stop people from using them again (or at least advise them of the risk). This provided a means of implementing guidance from government and industry bodies alike, but it also provided individuals with a repository they could check their own passwords against.
#3 Aquí dice otra cosa
#2 es seguro, si miras las comunicaciones de esa web, hacen un hash de tu contraseña y lo que mandan es el hash, no la contraseña en claro
Luego hacen lo mismo para comprobar si tu contraseña aparece en alguna lista de estas: hashean todas las contraseñas de esas listas y las comparan con el hash de tu contraseña.
Para los no entendidos en la materia, un hash es una función que produce otra cadena (siempre la misma a partir de los mismos datos) y de la que no se puede obtener de vuelta la cadena original (a diferencia de un cifrado, que podrías descifrarlo para obtener la contraseña original)
https://haveibeenpwned.com/ ha salido ya unas pocas de veces en menéame
Hombre, pues como se dice: "No sé, Rick...". Que cierta cuenta mía aparezca en 3 "páginas" (chinas, y Neteller) y no haya estado registrado en ninguna de ellas pues me parece ciertamente curioso. Lo único que se me ocurre es que alguien con mi contraseña de mi correo se hubiese registrado en esas páginas en su día. Pero no ha pasado nada raro, ningún email nada extraño del banco.
En fin, por seguridad he cambiado la contraseña, pero no entiendo muy bien que mi email aparezca como hackeado (email + contraseña) en un sitio que ni conocía, o conocía de pasadas sin haberlo siquiera visitado como invitado u "offline".
Joder,parece que mi email ha sido leakeado un montón de veces: adobe, lastfm, myspace, dropbox...
#13 Tumblr, disqus, el último data breach ese y dos más... Ea, a cambiar contraseñas
Si me pasáis el nº de cuenta y el CVV por privado, os digo si os han hackeado la cuenta.
Pues esta bien.
Lo próximo saber si estamos en las listas negras de trabajadores .
No se si es real o no, por si acaso lo he probado en otro equipo diferente de donde he verificado el correo.. pero una contraseña mía me dice que cero veces, y otra que 7, lo cual me resulta extrañísimo porque es bastante complicado que alguien la tenga... me gustaría ver la forma de comprobar esa contraseña en qué servicios o correos ha sido encontrada.
Se sabe si estan circulando los datos por ahi? La última vez que paso algo así me lo baje (la parte que me interesaba) para saber exactamente qué información tenían de mis cuentas.
si fiate de una pagina...por cierto alguien sabe casualmente donde esta el magnet del archivo?
#9 es fácil de encontrar. Pero es un refrito de otras filtraciones