Un masivo hackeo afectó a cerca de 711 millones de cuentas de emails alrededor de todo el mundo, lo que fue provocado por un spambot intrusivo.
El hecho fue dado a conocer por el experto en seguridad informática australiano Troy Hunt, quien explicó que esta filtración terminó revelando delicada información, como la contraseña en algunos casos.
Hunt agregó que los correos electrónicos afectados resultaron con vulnerabilidades, lo que de acuerdo al portal Infobae, podrían ser utilizadas para difundir malware bancario. Lo peligroso, es que la información de esas cuentas pueden ser compartidas en páginas de internet.
Si bien algunas de las direcciones corresponden a cuentas inexistentes, no personales o inactivas, la masividad del hackeo fue calificada como “alucinante”.
Processing the largest list of data ever seen in @haveibeenpwned courtesy of a nasty spambot. I'm in there, you probably are too.
— Troy Hunt (@troyhunt) August 28, 2017
Para saber si tu email fue expuesto al ataque, puedes ingresar en el sitio Have I Been Pwned, el que fue creado por el propio Hunt.
En esta plataforma, que es segura, sólo tendrás que escribir tu correo. El resultado te indicará si es necesario que cambies tu contraseña.
Según se cree, el spambot robaba información gracias al envío por correo de una diminuta imagen de sólo un pixel. Cuando el receptor abría el mail, sus datos e IP eran enviadas al servidor en el que se aloja el archivo.
Recordemos que hace algunos días un grupo de hackers explotaron una falla de Instagram para robar perfiles de sus usuarios, incluyendo celebridades.
Los expertos descubrieron que la vulnerabilidad existe en la versión móvil 8.5.1 de la plataforma, lanzada en 2016 (la versión actual es 12.0.0).
El proceso de ataque es relativamente simple: usando la aplicación obsoleta, el atacante selecciona la opción de restauración de contraseña y captura la solicitud mediante un proxy web. Entonces seleccionan a una víctima y envían una solicitud al servidor de Instagram cargando el identificador o el nombre de usuario exclusivo del objetivo.
El servidor devuelve una respuesta en formato JSON con la información personal de la víctima, incluyendo datos confidenciales, como el correo electrónico y el número de teléfono.