Google ha emitido un comunicado oficial en respuesta a la publicación de casi 5 millones de credenciales de usuario del servicio Gmail. La compañía afirma en el texto que únicamente una pequeña cantidad de las credenciales compartidas presenta un riesgo de seguridad, al mismo tiempo que descarta cualquier filtración en los sistemas de Google.
"Hemos descubierto que menos del 2% de las combinaciones de nombre de usuario y contraseña podrían haber funcionado, y nuestros sistemas automáticos antirrobo habrían detectado muchos de esos intentos de logueo", sentencia el gigante de Internet en su comunicado. "Hemos protegido las cuentas afectadas obligando a esos usuarios a cambiar sus contraseñas".
"Es importante señalar que en este caso y en otros, la filtración de nombres de usuario y de claves no es una consecuencia de una vulnerabilidad en los sistemas de Google. A menudo, estas credenciales se obtienen por una combinación de otras fuentes". La firma de Mountain View lista el hackeo de otras webs con contraseñas compartidas, el uso malware o las tácticas de phishing como las vías principales para capturar credenciales de usuario.
Google recomienda encarecidamente utilizar una clave única suficientemente robusta para los servicios de la compañía. A su vez, el comunicado recuerda la existencia de una herramienta de registro de actividad que permite confirmar la autenticidad y la localización de cada acceso.
El comunicado aprovecha para explicar el "fenómeno conocido en círculos de seguridad como 'dumps de credenciales'". Este tipo de publicaciones recopilan listas de credenciales de usuario obtenidas por diferentes vías, y no necesariamente a partir de una única filtración.
Esta situación podría ser homóloga a la sonada filtración de fotos de famosas desde los servicios de almacenamiento de Apple. Al igual que Google, la firma de Cupertino descartó recientemente cualquier fallo de seguridad en los sistemas de iCloud, achacando la filtración a tretas de ingeniería social y ataques derivados como los que listan los responsables del buscador.
"Hemos descubierto que menos del 2% de las combinaciones de nombre de usuario y contraseña podrían haber funcionado, y nuestros sistemas automáticos antirrobo habrían detectado muchos de esos intentos de logueo", sentencia el gigante de Internet en su comunicado. "Hemos protegido las cuentas afectadas obligando a esos usuarios a cambiar sus contraseñas".
"Es importante señalar que en este caso y en otros, la filtración de nombres de usuario y de claves no es una consecuencia de una vulnerabilidad en los sistemas de Google. A menudo, estas credenciales se obtienen por una combinación de otras fuentes". La firma de Mountain View lista el hackeo de otras webs con contraseñas compartidas, el uso malware o las tácticas de phishing como las vías principales para capturar credenciales de usuario.
Google recomienda encarecidamente utilizar una clave única suficientemente robusta para los servicios de la compañía. A su vez, el comunicado recuerda la existencia de una herramienta de registro de actividad que permite confirmar la autenticidad y la localización de cada acceso.
El comunicado aprovecha para explicar el "fenómeno conocido en círculos de seguridad como 'dumps de credenciales'". Este tipo de publicaciones recopilan listas de credenciales de usuario obtenidas por diferentes vías, y no necesariamente a partir de una única filtración.
Esta situación podría ser homóloga a la sonada filtración de fotos de famosas desde los servicios de almacenamiento de Apple. Al igual que Google, la firma de Cupertino descartó recientemente cualquier fallo de seguridad en los sistemas de iCloud, achacando la filtración a tretas de ingeniería social y ataques derivados como los que listan los responsables del buscador.
Yo no e FUIDO.... la gente q nos usa es tonta y se deja ZEDUZIR por la Ingenieria ZOZIAL.... Si no es malware..
Yo noooppp
Bueno, eso es muy relativo...
si yo dejo una copia de las llaves de mi casa en casa del vecino, y el vecino deja la puerta de su casa abierta cuando se va, pues mal asunto... y se ve que aqui es lo que mas ha pasado... que han robado datos de foros que tienen fallos de seguridad importantes... que han robado datos de bases de datos de compañias de juegos importantes... y de compañias de software importante... rift, sony o adobe, por mentar alguna de las conocidas... de desconocidas, pues habran robado cientos de millones de archivos de contraseñas.
y me diras, la culpa es del usuario por utilizar el mismo password en diferentes sitios.
No.
La culpa es del administrador irresponsable que sin tener conocimientos suficientes para ello monta un blog o una web o un foro con vulnerabilidades importantes. Exactamente igual que se roba el archivo de contraseñas de acceso de un foro se roba toda la informacion privada y confidencial de los usuarios registrados.
Y esto tiene la misma logica exacta que el tema de apple de hace una semana.
Cosas de la vida, con el tema de apple saltaron cientos y cientos de usuarios durante varios dias a criticar sin fundamento alguno y pocos (por no decir que se pueden contar con los dedos de una mano) para poner un poco de sentido comun (dias antes de la salida del nuevo iphone, claro).
En el caso de google, se esta desmintiendo con noticias de portada y comentarios varios desde el minuto 1 de la filtracion.
Yo de verdad que no entiendo nada.
Me pregunto si sera porque la gente invierte en acciones de google y temen por sus ahorros
Google, por lo que se sabe, no.
Es una diferencia clave entre los dos casos: en el primero, la puerta fue la que falló. En el segundo, fueron las llaves (ya sea dándoselas al ladrón -phishing- o usando la misma llave para la taquilla de las chanclas en la playa que la de la caja fuerte del Banco de España -lo que tú dices, reutilización de contraseñas en páginas mal configuradas-).
Por cierto, se hizo también con Apple, dos veces además:
noticia_apple-descarta-fallos-de-seguridad-en-icloud-y-find-my-iphone_24900
noticia_tim-cook-anuncia-mejoras-en-la-seguridad-de-icloud_24923
Android fue afectado por Heartbleed y varios millones de terminales siguen estando afectados, y iOS por lo que se sabe, no.
Es una diferencia entre los dos casos: en el primero, la puerta fue la que fallo, permitiendo acceder a la memoria y leer los passwords directamente sin mucho problema. En el segundo, tienes que probar varios millones de contraseñas de manera reiterativa, y con una simple contraseña con cierta seguridad o complejidad que no sea 12345abcdef seria literalmente imposible que accedan a tus datos.
En el caso de android, con heartbleed da igual la complejidad de la contraseña, ya puedes poner una contraseña de 256 caracteres ascii que te la sacan en 10 segundos mas o menos.
Aseverar que la culpa es del usuario por utilizar la misma contraseña en diferentes sitios es un tanto delicado. La culpa es del administrador irresponsable que sin conocimientos suficientes monta un servicio que requiere suscripcion por parte del usuario, que para el registro pide al usuario datos de caracter sensible, y todo en un entorno inseguro.
Es como obligar a la gente que entra en tu casa a entra descalzos, a sabiendas de que hace 3 años que no limpias el suelo.
P.D.: no he dicho que no se desmintiese en el caso de apple en portada. He dicho que
Es importante la parte en negrita.
Tambien es importante el espionaje reiterativo corporativo de google hacia sus clientes. Hace no mucho hubo otra noticia de portada en la que google denuncio a un tio por pornografia infantil. Fotos que encontro google en una cuenta Drive. A mi no me gusta que el dueño de mi gimnasion, cuando le salga de los cojones venga, habra mi taquilla, rebusque en mi mochila, saque mi cartera, rebusque entre mis fotos y tarjetas de credito... recuerda un poco a los registros de las celdas en las carceles.
pero eso no es importante parece ser