El relleno de credenciales es un tipo de ataque cibernético en el que las credenciales de cuentas robadas , que generalmente consisten en listas de nombres de usuario y / o direcciones de correo electrónico y las contraseñas correspondientes (a menudo de una violación de datos ), se utilizan para obtener acceso no autorizado a las cuentas de usuario a través de sistemas automatizados a gran escala solicitudes de inicio de sesión dirigidas contra una aplicación web . [1] A diferencia del descifrado de credenciales, los ataques de relleno de credenciales no intentan utilizar la fuerza brutao adivinar las contraseñas: el atacante simplemente automatiza los inicios de sesión para una gran cantidad (de miles a millones) de pares de credenciales previamente descubiertos utilizando herramientas de automatización web estándar como Selenium , cURL , PhantomJS o herramientas diseñadas específicamente para este tipo de ataques, como Sentry MBA, SNIPR, STORM, Blackbullet y Openbullet. [2] [3]
Los ataques de relleno de credenciales son posibles porque muchos usuarios reutilizan la misma combinación de nombre de usuario / contraseña en varios sitios, y una encuesta informa que el 81% de los usuarios han reutilizado una contraseña en dos o más sitios y el 25% de los usuarios utilizan las mismas contraseñas en la mayoría de los sitios. sus cuentas. [4] En 2017, la FTC emitió un aviso sugiriendo acciones específicas que las empresas debían tomar contra el relleno de credenciales, como insistir en contraseñas seguras y protegerse contra ataques. [5] Según el ex zar del fraude de clics de Google , Shuman Ghosemajumder , los ataques de relleno de credenciales tienen una tasa de éxito de inicio de sesión de hasta el 2%, lo que significa que un millón de credenciales robadas pueden ocupar más de 20.000 cuentas. [6] Wired Magazine describió que la mejor manera de protegerse contra el relleno de credenciales es usar contraseñas únicas en las cuentas, habilitar la autenticación de dos factores y hacer que las empresas detecten y detengan los ataques de relleno de credenciales. [7]
Derrames de credenciales
Los ataques de relleno de credenciales se consideran una de las principales amenazas para las aplicaciones web y móviles como resultado del volumen de derrames de credenciales. Más de tres mil millones de credenciales se derramaron a través de violaciones de datos en línea solo en 2016. [8]
Origen
El término fue acuñado por Sumit Agarwal, cofundador de Shape Security, quien se desempeñaba como subsecretario adjunto de Defensa en el Pentágono en ese momento. [9]
Incidentes
El 20 de agosto de 2018, el minorista de salud y belleza del Reino Unido Superdrug fue blanco de un intento de chantaje, y los piratas informáticos mostraron supuestas pruebas de que habían penetrado en el sitio de la empresa y habían descargado los registros de 20.000 usuarios. Lo más probable es que la evidencia se haya obtenido de piratas informáticos y derrames y luego se haya utilizado como fuente de ataques de relleno de credenciales para recopilar información y crear la evidencia falsa. [10] [11]
En octubre y noviembre de 2016, los atacantes obtuvieron acceso a un repositorio privado de GitHub utilizado por los desarrolladores de Uber (Uber BV y Uber UK), utilizando los nombres de usuario y contraseñas de los empleados que habían sido comprometidos en violaciones anteriores. Los piratas informáticos afirmaron haber secuestrado las cuentas de usuario de 12 empleados utilizando el método de relleno de credenciales, ya que las direcciones de correo electrónico y las contraseñas se habían reutilizado en otras plataformas. La autenticación multifactor , aunque está disponible, no se activó para las cuentas afectadas. Los piratas informáticos ubicaron las credenciales para el almacén de datos de AWS de la empresa en los archivos del repositorio, que utilizaron para obtener acceso a los registros de 32 millones de usuarios no estadounidenses y 3,7 millones de controladores no estadounidenses, así como otros datos contenidos en más de 100 buckets de S3 . Los atacantes alertaron a Uber, exigiendo el pago de $ 100,000 para aceptar eliminar los datos. La compañía pagó a través de un programa de recompensas por errores, pero no reveló el incidente a las partes afectadas durante más de un año. Después de que la violación salió a la luz, la Oficina del Comisionado de Información del Reino Unido multó a la empresa con 385.000 libras esterlinas (reducida a 308.000 libras esterlinas) . [12]
Comprobación de credenciales comprometidas
La verificación de credenciales comprometidas es una técnica que permite a los usuarios ser notificados cuando las contraseñas son violadas por sitios web, navegadores web o extensiones de contraseñas.
En febrero de 2018, el científico informático británico Junade Ali creó un protocolo de comunicación (utilizando k -anonimato y hash criptográfico ) para verificar de forma anónima si se filtró una contraseña sin revelar completamente la contraseña buscada. [13] [14] Este protocolo se implementó como una API pública y ahora es consumido por múltiples sitios web y servicios, incluidos administradores de contraseñas [15] [16] y extensiones de navegador . [17] [18] Este enfoque fue posteriormente replicado por la función de verificación de contraseña de Google . [19] [20] [21] Ali trabajó con académicos de la Universidad de Cornell para desarrollar nuevas versiones del protocolo conocido como Bucketización de tamaño de frecuencia y Bucketización basada en identificadores. [22] En marzo de 2020, se agregó al protocolo el relleno criptográfico . [23]
Implementaciones de verificación de credenciales comprometidas
Protocolo | Desarrolladores | Hecho público | Referencias |
---|---|---|---|
k-anonimato | Junade Ali ( Cloudflare ), Troy Hunt ( ¿Me han engañado? ) | 21 de febrero de 2018 | [24] [25] |
Bucketización de suavizado de frecuencia y agrupación basada en identificadores | Universidad de Cornell (Lucy Li, Bijeeta Pal, Rahul Chatterjee, Thomas Ristenpart), Cloudflare ( Junade Ali , Nick Sullivan) | Mayo de 2019 | [26] |
Verificación de contraseña de Google (GPC) | Google , Universidad de Stanford | Agosto de 2019 | [27] [28] |
Detección activa de relleno de credenciales | Universidad de Carolina del Norte en Chapel Hill (Ke Coby Wang, Michael K. Reiter) | Diciembre de 2019 | [29] |
Ver también
- Filtración de datos
Referencias
- ^ "Relleno de credenciales" . OWASP .
- ^ "Informe de derrame de credenciales" (PDF) . Seguridad de la forma. Enero de 2017. p. 23.
La herramienta de relleno de credenciales más popular, Sentry MBA, utiliza archivos de "configuración" para los sitios web de destino que contienen toda la lógica de secuencia de inicio de sesión necesaria para automatizar los intentos de inicio de sesión.
- ^ "Uso de herramientas de relleno de credenciales - NCSC" .
- ^ "Llamada de atención sobre los malos hábitos de las contraseñas de los usuarios" (PDF) . SecureAuth. Julio de 2017.
- ^ "Quédese con la seguridad: solicite contraseñas seguras y autenticación" . Comisión Federal de Comercio . 2017-08-11 . Consultado el 11 de abril de 2021 .
- ^ Ghosemajumder, Shuman (4 de diciembre de 2017). "No puede asegurar el 100% de sus datos el 100% del tiempo" . Harvard Business Review . ISSN 0017-8012 . Consultado el 11 de abril de 2021 .
- ^ "¿Qué es el relleno de credenciales?" . Cableado . ISSN 1059-1028 . Consultado el 11 de abril de 2021 .
- ^ Chickowski, Ericka (17 de enero de 2017). "Los ataques de relleno de credenciales toman por asalto los sistemas empresariales" . DarkReading . Consultado el 19 de febrero de 2017 .
- ^ Townsend, Kevin (17 de enero de 2017). "Relleno de credenciales: una metodología de ataque exitosa y creciente" . Semana de la seguridad . Consultado el 19 de febrero de 2017 .
- ^ "Super-tazas: los piratas informáticos afirman haber robado 20.000 registros de clientes de Brit biz Superdrug" .
- ^ "Superdrug Rebuffs Super Ransom después del supuesto Super atraco - Comunidad Crypto de finanzas" . 23 de agosto de 2018.
- ^ "Aviso de sanción monetaria (Uber)" (PDF) . Oficina del Comisionado de Información. 27 de noviembre de 2018.
- ^ "Averigüe si su contraseña ha sido establecida, sin enviarla a un servidor" . Ars Technica . Consultado el 24 de mayo de 2018 .
- ^ "Pernos de 1Password en una verificación de 'contraseña pwned' - TechCrunch" . techcrunch.com . Consultado el 24 de mayo de 2018 .
- ^ "1Password se integra con 'Pwned Passwords' para comprobar si sus contraseñas se han filtrado en línea" . Consultado el 24 de mayo de 2018 .
- ^ Conger, Kate. "1Password le ayuda a averiguar si su contraseña está puesta" . Gizmodo . Consultado el 24 de mayo de 2018 .
- ^ Condon, Stephanie. "Okta ofrece autenticación multifactor gratuita con un nuevo producto, One App | ZDNet" . ZDNet . Consultado el 24 de mayo de 2018 .
- ^ Coren, Michael J. "La base de datos de contraseñas pirateadas más grande del mundo es ahora una extensión de Chrome que comprueba la tuya automáticamente" . Cuarzo . Consultado el 24 de mayo de 2018 .
- ^ Wagenseil Yo, Paul. "La nueva extensión de Chrome de Google encuentra sus contraseñas pirateadas" . www.laptopmag.com .
- ^ "Google lanza una extensión de verificación de contraseña para alertar a los usuarios de violaciones de datos" . BleepingComputer .
- ^ Dsouza, Melisha (6 de febrero de 2019). "La nueva extensión de Chrome de Google 'Password CheckUp' comprueba si su nombre de usuario o contraseña han sido expuestos a una infracción de terceros" . Packt Hub .
- ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 de noviembre de 2019). "Protocolos para verificar credenciales comprometidas". Actas de la Conferencia ACM SIGSAC 2019 sobre seguridad informática y de comunicaciones . Nueva York, NY, EE. UU .: ACM: 1387–1403. arXiv : 1905.13737 . Código bibliográfico : 2019arXiv190513737L . doi : 10.1145 / 3319535.3354229 . ISBN 978-1-4503-6747-9.
- ^ Ali, Junade (4 de marzo de 2020). "Relleno de contraseñas Pwned (pies. Lava Lamps and Workers)" . El blog de Cloudflare . Consultado el 12 de mayo de 2020 .
- ^ Ali, Junade (21 de febrero de 2018). "Validación de contraseñas filtradas con k-anonimato" . El blog de Cloudflare . Consultado el 12 de mayo de 2020 .
- ^ Ali, Junade (5 de octubre de 2017). "Mecanismo para la prevención de la reutilización de contraseñas mediante Hashes anonimizados" . Preprints de PeerJ . Consultado el 12 de mayo de 2020 . Cite journal requiere
|journal=
( ayuda ) - ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (4 de septiembre de 2019). "Protocolos para verificar credenciales comprometidas". arXiv : 1905.13737 [ cs.CR ].
- ^ Thomas, Kurt; Pullman, Jennifer; Yeo, Kevin; Raghunathan, Ananth; Kelley, Patrick Gage; Invernizzi, Luca; Benko, Borbala; Pietraszek, Tadek; Patel, Sarvar; Boneh, Dan; Bursztein, Elie (2019). "Protección de cuentas del relleno de credenciales con alertas de violación de contraseña" : 1556–1571. Cite journal requiere
|journal=
( ayuda ) - ^ Cimpanu, Catalin. "Google lanza la función de verificación de contraseña, la agregará a Chrome más adelante este año" . ZDNet . Consultado el 12 de mayo de 2020 .
- ^ Wang, Ke Coby; Reiter, Michael K. (2020). "Detectar el relleno de las credenciales de un usuario en sus propias cuentas" . arXiv : 1912.11118 . Cite journal requiere
|journal=
( ayuda )
enlaces externos
- " Entrada de OWASP sobre relleno de credenciales "