Have I been Pwned abre el código de Pwned Passwords y recibirá del FBI contraseñas robadas en ata...

Have I been Pwned es posiblemente uno de los sitios más útiles y al mismo tiempo más infrautilizados de Internet en relación a su utilidad. En parte porque el desconocimiento general sobre cómo funciona hace que algunas personas recelen de él. Desde su creación allá por 2013, millones y millones internautas han podido utilizar su repositorio para comprobar si alguna de sus cuentas de usuario o contraseñas ha sido vulnerada debido a ataques o filtraciones, y ahora, tras más de siete años de actividad, da un nuevo paso que le permitirá ser más útil que nunca.

Varios meses después de su anuncio original, Troy Hunt, responsable de la página, ha anunciado que el componente Pwned Passwords es un proyecto de código abierto. Inicialmente Hunt llegó incluso a plantearse la venta del sitio dadas las dificultades a la hora de mantenerlo, pero tras meditarlo cuidadosamente ha querido aliarse con la fundación .NET para darle continuidad y mejorar sus funciones. El código de Pwned Passwords se puede encontrar desde ya mismo en GitHub, licenciado como BSD de tres cláusulas.

Abrir el código del identificador de contraseñas robadas aportará una mayor transparencia al proyecto y servirá para poder mejorar su funcionamiento. Que por otro lado, no podría seguir adelante sin la aportación de nuevas contraseñas vulneradas. La idea es que el sitio ya no dependa tanto de la aparición de grandes listados de claves filtradas o robadas sin fecha de obtención clara, sino facilitar la aportación de material fresco y actualizado. Aquí es donde el FBI entra en escena.

Según ha anunciado Hunt, además de abrir el código del identificador de contraseñas, Have I been Pwned se beneficiará de una alianza por la cual el FBI aportará a la base de datos contraseñas vulneradas que hayan sido descubiertas durante sus intervenciones contra la ciberdelincuencia. Dada la escala de algunas de sus operaciones (como la destrucción de botnets con millones de víctimas), esto implica que Have I been Pwned podría recibir miles y miles de claves robadas procedentes de todo el mundo.

Como cabe imaginar, en aras de la seguridad el FBI no proporcionará contraseñas per se, sino sus hashes criptográficos en SHA-I y NTLM. Esto quiere decir que Have I been Pwned no recibirá claves identificables como tal, sino cadenas alfanuméricas generadas a partir de las claves para identificarlas. Estos hashes no pueden ser revertidos para descubrir las contraseñas de donde originaron, por lo que es un método totalmente válido y seguro para compartir información.

Actualmente Have I been Pwned posee una base de datos con los hashes de 613.584.246 contraseñas expuestas. Los internautas interesados en saber si su clave puede estar en peligro pueden introducirla aquí sin dar información identificable de ninguna clase para ver si ha aparecido en algún listado.

Fuente: ZDNet
¿Y qué pasaría si acceden a la BB.DD. de "I have been pwned"? ¿Una ultraparadoja?
La contraseña de mi maletín ha sido comprometida mas de dos millones de veces.
Lo que ojala añadan tambien, es algo para borrar lo hackeado que ya has cambiado o ya no existe, por ejemplo, en una cuenta yo tengo los hackeos de Wildstar de 2015 que ha dia hoy ya no existe creo, Dailymotion que cambie contraseña y NexusMods que tambien cambie.
47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia
Mi clave de 21 digitos sigue invicta, todas las anteriores que antes usaba todas fueron rotas, casi preferiria no saber estas cosas xD

@Alejo I Por favor entra al trapo y responde al de arriba, que me ofende hasta a mi ¬_¬
Falta comprensión lectora y sobra paranoia.
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia


Es lo que tiene usar se clave 12345.

Saludos
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia


Espero que seas troll....
Rokkuman escribió:La contraseña de mi maletín ha sido comprometida mas de dos millones de veces.

Pero a tu maletín no se accede remotamente, ni controla tus cuentas bancarias, ni tiene más información que tu mujer de ti. Como mucho lo pones en la oficina para que el jefe lo vea [sonrisa]
superefren escribió:¿Y qué pasaría si acceden a la BB.DD. de "I have been pwned"? ¿Una ultraparadoja?

En este tipo de páginas se guardan los checksums de las contraseñas, los correos y en qué ataque se filtraron, no tiene mucha utilidad a no ser que tengas una base de datos paralela, en cuyo caso... ¿para qué estás extrayendo información de ahí?

Como dice @Alejo I es una de esas páginas que está muy infravalorada por su utilidad, que debes de cambiar los credenciales de tal página porque "alguien" los tienen.

¡Saludos!
Este hombre lleva ya años intentando monetizar el tema de mil formas, y aunque no acaba nunca de conseguirlo siempre se las apaña para que se hable de su servicio.

Sobre el código, pues la verdad es que es 100% trivial (lo podéis ver en el Github), el verdadero valor está en la base de datos de contraseñas. Y eso no lo abren, claro.
superefren escribió:¿Y qué pasaría si acceden a la BB.DD. de "I have been pwned"? ¿Una ultraparadoja?

Dicen que lo que guardan en BD son los hashes así que no podrían obtener las claves con eso.

Aún así yo paso de probar lo, ¿Quién me garantiza que no la estén guardando en plano para tener un diccionario para organizar un ataque?

Si quieres estar seguro de tu contraseñas no queda otra que usar contraseñas diferentes para cada sitio e ir cambiando las. Y la verificación en 2 pasos cuando se pueda.
Yo las contraseñas de foros que me las genere y las guarde Chrome, pero las de los bancos solo las guardo en lugares seguros de verdad.
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia


Madre mía, no se si eres troll o tu desconocimiento es tan grande que te la suda todo [jaja]
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia

En tu perfil pone que tienes 32 años. Supongo que eso también debe ser un número al azar porque sino no se entiende tu comentario.
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia


Pwned lo que hace es acceder a recopilatorios de ciberataques filtrados en internet, si tu correo sale en alguna lista no necesariamente tiene que ser porque te han hackeado, sino porque tu correo ha aparecido en alguna de estas filtraciones. En muchos casos suele ser porque un servicio donde te registraste compartió tus datos con terceros, y a esos terceros les hackearon.

Por otro lado, por mucho que cambies tu contraseña o actives 2FA tu correo va a seguir apareciendo en cualquier lista donde apareciera, eso nunca va a cambiar.

Si tienes dudas de que la información de la web sea falsa o no puedes confirmarlo tú mismo. Con las contraseñas no pero con los correos sí puedes averiguar a qué filtración pertenece cada caso y el resto es investigar por tu cuenta. Es lo que ya he dicho, la web accede a datos de ciberataques filtrados en internet, tú mismo puedes buscar esas filtraciones y confirmar por tu cuenta si es cierto. Probablemente te lleves más de alguna sorpresa y empieces a tomártelo más en serio.
(mensaje borrado)
No pierdas tu tiempo explicándole... es como explicar como es realmente la tierra a un terraplanista
Añadir también que es muy fácil acceder a esas listas con todos los emails y contraseñas

Yo mismamente por curiosidad adquirí por menos de 3$ la base de datos de Taringa y Apple, donde por cierto estaba mi correo y mi contraseña (antiguas) xD
-alsaan escribió:el verdadero valor está en la base de datos de contraseñas. Y eso no lo abren, claro.


El único valor que tiene la BBDD son hashes SHA-1 (no SHA-I, como dice Alejo (cómo chirría eso)).

Con qué leak están asociados no te lo van a decir por razones obvias.

¿Tienen esa información? Sí, pero de la misma manera que tú vas ahora a la Dark Web y te bajas/agencias con una BBDD en texto plano. Como ya ha mencionado @Rokzo que se puede hacer.

-Harl escribió:Aún así yo paso de probar lo, ¿Quién me garantiza que no la estén guardando en plano para tener un diccionario para organizar un ataque?


Porque no lo hace.

Si analizas el tráfico entre la web y el servidor cuando metes la contraseña en texto plano en el formulario de la web ves que lo que se envían son los cinco primeros caracteres de su hash SHA-1.

Es exactamente que lo que harías tú mismo, y justamente explicaba hace un par de días aquí, usando por tu cuenta la API. ¿O a caso crees que cuando usas la API también envías el password en texto plano?
viewtopic.php?p=1751341502

Y que es hacer lo que pone aquí:
https://haveibeenpwned.com/API/v2#PwnedPasswords


Y por si queda alguna duda, de un hash no se puede extraer el texto original.


EDIT: Nota, para que esto sea así debe de permitirse la ejecución y no bloqueo de scripts en la página o no se podrá generar el hash en el cliente. De bloquearse, entonces sí se envía la contraseña en texto plano al backend para, creo, generar y buscar por sí mismo el hash.
JohnH escribió:
alsaan escribió:el verdadero valor está en la base de datos de contraseñas. Y eso no lo abren, claro.


El único valor que tiene la BBDD son hashes SHA-1 (no SHA-I, como dice Alejo (cómo chirría eso)).

Con qué leak están asociados no te lo van a decir por razones obvias.

¿Tienen esa información? Sí, pero de la misma manera que tú vas ahora a la Dark Web y te bajas/agencias con una BBDD en texto plano. Como ya ha mencionado @Rokzo que se puede hacer.

Pues esa base de datos es lo que sería interesante que abrieran, ¿no? Por una parte para que la pueda mantener la comunidad a partir de ahora, y por otra para que cualquiera pueda incorporarla a sus productos sin tener que depender del servicio de un tercero.

Este código que han publicado no sólo es extremadamente simple, sino que además es completamente inútil sin la base de datos...
@alsaan Si te refieres a los hashes, siempre te la puedes bajar del enlace que he puesto (abajo, los torrents y demás):
https://haveibeenpwned.com/Passwords

Ten en cuenta que Troy Hunt ya presenta un BBDD filtrada de duplicados y demás. Si no te fías de ella, pues siempre puedes empezar de cero bajando BBDD de leaks y hacer lo mismo. Yo mismo he pensado en bajarme alguna vez alguna BBDD, pero es que son gigas y gigas y más gigas, y no tengo para tanto XD y encima que la mitad sean duplicados.

Lo de añadir a la BBDD, a mí se me escapa qué es lo que hace realmente el código (no soy programador), pero en teoría es un paso para abrir a las aportaciones ajenas a la BBDD de hashes y que se puedan consultar por el resto.

Perdón, creo que ahí me he colado, pero bueno, el tema de anonimizar los hashes y consultar no tiene mucho misterio.

De todas formas, como digo, no tienes que depender de terceros. Tienes la opción o de crear el hash de un password y enviarlo a la API, por lo que no envías nada que vulnere tus credenciales, o puedes bajar la BBDD, si es tu deseo, pero ya ves el tamaño brutal que tiene la dichosa BBDD, que para ser en texto plano comprimida... tela..., por lo menos para ir haciéndolo según vaya actualizándose.
@JohnH Ah, pues no sabía que ofrecían la BD completa para descarga. Entonces no he dicho nada.

El código que han publicado depende de tener las contraseñas alojadas en la object store de Azure, pero bueno, es fácil hacerte tu propia versión para darle a otros usos.
la gente es mas tonta de lo que pensaba !!
"dime tu contraeña (que probablemente usas en otros sitios) y yo la incluyo en una base de datos gigantesca y voy probando haber si cuela... )
Los demás seremos muy tontos, pero tu por lo que se ve, ni escribir ni leer sabes.
Madre mía como está el patio...
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia

Se te ve entendido.
De verdad, antes de decir tonterías, contad hasta 10, o hasta donde sepáis.
argentona26 escribió:Los demás seremos muy tontos, pero tu por lo que se ve, ni escribir ni leer sabes.
Madre mía como está el patio...

me encantan el tipico argumento de no se que poner y lo unico que puedo decir es que esta mal escrito...
patetico... :o
Yo tengo 21 coincidencias, lo cual considero normal. Mi correo electrónico es viejo de cojones, básicamente de cuando Gmail era beta y sólo funcionaba por invitación. En todo ese tiempo esa cuenta ha pasado por bastantes sitios, así que normal que algunos de ellos acabaran siendo los que en su día sufrieron algún ataque XD

También he ido cambiando la contraseña varias veces, así que no me preocupa. Tal y como se dice, esto es una base de datos que te enseña los sitios en los que se encontraba tu e-mail en el momento del ataque o filtración, no significa que hayan tenido acceso a él. Y la verdad es que esa publicidad a su software que te hacen puede quitar seriedad a algunos...
Sigo sin ver la utilidad de esta web.
¿De qué me sirve saber si me han hackeado?
Lo que me importa es que no me hackeen, no saber cuántas veces lo han hecho ya...
Normal que no la utilice ni el tato...
jordigahan escribió:la gente es mas tonta de lo que pensaba !!
"dime tu contraeña (que probablemente usas en otros sitios) y yo la incluyo en una base de datos gigantesca y voy probando haber si cuela... )


Deberías hablar con un poco mas de respeto, sobre todo de temas que no conoces. Como ya ha dicho un compañero la web no manda tu contraseña en texto plano, envía solo una parte del hash para compararla con su BBDD.
Bundis escribió:Sigo sin ver la utilidad de esta web.
¿De qué me sirve saber si me han hackeado?
Lo que me importa es que no me hackeen, no saber cuántas veces lo han hecho ya...
Normal que no la utilice ni el tato...

La idea es que si te han descubierto la contraseña de algun sitio, cambiarla.
Tambien esta el tema que la gente usa la misma contraseña para todos los servicios, entonces al descubrir la contraseña de un sitio, pueden acceder a otras cuentas con la misma contraseña, ergo, que deberías cambiar la contraseña si o si.
(Aunque tambien es mal diseño, y la gente debería usar una contraseña única por cada sitio, ya sea con un gestor de contraseñas o lo que fuese.)

jordigahan escribió:la gente es mas tonta de lo que pensaba !!
"dime tu contraeña (que probablemente usas en otros sitios) y yo la incluyo en una base de datos gigantesca y voy probando haber si cuela... )

Tambien te digo que el modo por defecto de la pagina no es buscar por contraseña sino buscar por e-mail, y técnicamente es el método mas seguro.

Y como han respondido atrás, probablemente lo que se envíe del navegador sea el resultado de la función hash (porque excepto las paginas más básicas, los formularios web no envían cosas tal como tu escribes en tu navegador, sino que hace un sistema de tratamiento de datos invisible para el usuario), que un hash es un cadena de texto que representa la version resumida de tu contraseña y que no es reversible.

Aunque tambien te digo, que Facebook siendo como es (por decir una compañía de prestigio con nefasta en seguridad), almacenaba la contraseñas sin hacer hash, asi que técnicamente excepto que Facebook que haga un hash desde backend con la contraseña que tienen almacenada y el navegador haga tambien un hash. (Que a ver, si almacenaba las contraseñas sin hash, lo dudo muchisimo), Es mas inseguro entrar a Facebook al hacer login porque con cualquier Man-in-the-middle te pueden pillarte la contraseña en claro. (Sobre todo sin SSL/TLS, y excepto que te instalen certificados o de alguna manera hagan bypass la verificación de certificados, puede que te pillen tambien por ahi)
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia

Vaya troll
solo dire una cosa, si quieres que algo no se sepa, no lo vayas diciendo por ahi, no lo subas a ningun sitio y no vayas dando pistas.
jordigahan escribió:solo dire una cosa, si quieres que algo no se sepa, no lo vayas diciendo por ahi, no lo subas a ningun sitio y no vayas dando pistas.


Comentario irrebatible.

Y si tu comentario es respecto a la web https://haveibeenpwned.com/, tan sencillo como no utilizarla. Si quieres despejar dudas, ahí tienes el blog http://www.troyhunt.com. Y si ni por esas, pues no la uses, y ya.

La web sólo es una herramienta que te dice si hay leaks circulando por la Dark Web con tus credenciales o correos (y por tanto objetivo de spam, phising y otras hierbas).

Mientras sigas políticas de seguridad en tus credenciales de no repetir contraseñas, cambiarlas regularmente y los conocimientos para no caer en ataques dirigidos, la web te da igual. Sólo es información.

Pero, vamos, lo dicho, quien no se fíe de la web (o clones de dudosa ética) que no la use.
sonic5202 escribió:47 hackeos dice que tengo en el correo. claro claro y no me roban el dinero porque les da pereza. xDDDDDDDDDDDDDDDDDDDDDDDD obviamente es fake la web. el que meta un email le sale un numero al azaar y ya está normalmente infectado para que la gente crea que funciona y se vuelvan a meter. publicidad pagada seguramente esta noticia


[qmparto] [qmparto]
jordigahan escribió:solo dire una cosa, si quieres que algo no se sepa, no lo vayas diciendo por ahi, no lo subas a ningun sitio y no vayas dando pistas.

Claro que si, Jordi, Que si hay un leak de una base de datos que se publica en foros de Warez o similares,
Mejor no comunicárselo a la gente, no vaya a ser que les pillen a los intrusos usando sus cuentas.
/s
35 respuestas