Categories
Seguridad

Gab.com comprometió los datos de sus usuarios

Gab.com es una red social de discurso libre, puedes decir lo que te de la gana sin que se te censure. Ha estado muy de moda ultimamente y ha atraído sobre todo la atención de la derecha (y ultra derecha) de los Estados Unidos. El 26 de febrero de 2021 las contraseñas de la base de datos fueron filtradas o robadas de este sitio web. En la Fig. 1 pueden ver la información que te proporciona el navegador Facebook si vas a about:logins?filter=gab.com.

firefox filter logins
Figura 1. Filtración mostrada en navegador Firefox

La página web Have I Been Pwned es una base de datos con más de 500 brechas de seguridad. No están todas, pero está una parte muy representativa del total. Estas brechas de seguridad son filtraciones de tus datos por parte de páginas que por un descuido (o no) han permitido que delincuentes accedan a sus sistemas y se descargen la base de datos de usuarios.

Acceder a gab.com sin realmente acceder

Accedo a gab.com con una cuenta asociada al correo de john@mailinator.com siguiendo los pasos mostrados en Brechas de seguridad en Internet que filtran tus datos. Dentro de gab verías algo como lo que se muestra en la Fig. 2. El alias de la cuenta es @donadltrump. No lo elegí yo, fue la primera persona que utilizó esa cuenta.

gab home
Figura 2. Página de portada de gab.com

Puedes acceder a una cuenta de gab.com sin realmente utilizar tus datos. Por tanto es una cuenta desechable en gab.com asociada a un correo electrónico que es público. De ese modo si se filtra en un futuro mis datos es muy probable que no llenen ni correo electrónico de spam. El FBI si consigue acceder a los datos de los usuarios de esta página llegará a una cuenta que pertenece a un buzón público de mailinator.com. Tus auténticos datos no se verán afectados.

Gab.com con una cuenta falsa

Para comprobar la seguridad de la página utilicé la cuenta asociada al correo de john@mailinator.com. Cualquiera puede utilizar esta dirección de correo electrónico sin saber la contraseña de acceso. Hay que acceder a mailinator.com, poner el buzón de John y dentro de la página de gab.com elegir la opción RECORDAR CONTRASEÑA. El reseteo llegará a la cuenta de John y creas la contraseña que quieras.

gab profile
Figura 3. Datos de la cuenta en gab.com

Cómo se produjo la filtración

Es muy interesante el hilo de twitter creado por Troy Hunt, un experto en seguridad de fama mundial. En este hilo se pone los puntos sobre las íes y se corrigen los errores, bastante importantes, de los administradores de la página gab.com.

Troy cita a un tweet ridículo de la propia cuenta de gab en Twitter. Es una práctica bastante habitual que una organización publique una declaración pública después de una infracción o incluso, como sugiere la frase inicial del tweet, una “presunta” infracción. La mayoría de las organizaciones comienzan con “nos tomamos en serio la seguridad de sus datos”, hablan sobre las tarjetas de crédito y luego prometen proporcionar más actualizaciones a medida que estén disponibles.

El enfoque de Gab … difiere. La filtración se informó a través de la página wired y según los encargados de Gab los que comentaron que los reporteros estaban “esencialmente ayudando al hacker en sus esfuerzos por difamar nuestro negocio”. No tiene sentido que digan que están ayudando a los hackers si en el artículo de Wired se hace eco de esa filtración, ya se ha llevado a cabo y lo hacen público para que personas como tu y como yo se enteren.

Las contraseñas son débiles si son fáciles de recordar

Llama la atención tambien que comenten desde gab lo siguiente “Es una práctica estándar que las contraseñas tengan hash. Si la supuesta violación se ha producido como se describe, sus contraseñas no se han revelado“. Esto es mentira e ignora la simplicidad del descifrado de hash. Hablé sobre esto en Qué son las funciones hash y su uso en contraseñas.

Si la contraseña es “maga2020!” o “123456” ya se ha revelado. No tienes más que ir a múltiples páginas web en línea, poner esa contraseña para obtener el hash y luego comparar ese hash con el que se ha filtrado en línea.

contraseña 123456
Figura 4. Contraseña que se ha utilizado 24 millones de veces asociada a 123456.

La cookie de sesión legendaria

Un detalle que no escapa a mi atención es que la página tiene una cookie de sesión que dura 1 año. Es decir, si en el mismo ordenador en el que estoy accedo a la página gab.com me mantendrá en línea un año. No se cierra la sesión hasta dentro de un año. Esa la información se puede ser si se accede al INSPECTOR DE EVENTOS del navegador en el que estés.

cookie de sesión

Resumen

La filtración de datos hoy en día es un problema muy importante en las páginas web. Existe una montaña de datos, nuestros datos, y ahí fuera hay gente que los quiere. No es buena idea actuar como si fueras un cuñado dando explicaciones absurdas que solo entienden tus acólitos. Si has filtrado los datos en primer lugar reconócelo, no culpes al mensajero y actúa de manera precisa y adecuada para mitigar el daño.

Gab.com filtró los datos de miles de usuarios. El incidente expulso alrededor de 70 gigabytes de datos incluyendo 4 millones de cuentas de usuario, un pequeño número de chats privados y una lista de grupos públicos. Solo un pequeño número de cuentas incluyeron la dirección de correo electrónico y las contraseñas almacenadas utilizando hash bcrypt con un total de 66.000 únicas direcciones de correo electrónica.

La seguridad en internet tiene que cobrar más peso para evitar que ocurran filtraciones. Pero si ocurren, por favor, no actúes de forma que culpes al mensajero en vez de asumir tu mismo las culpas. La seguridad empieza en ti.

One reply on “Gab.com comprometió los datos de sus usuarios”

Leave a Reply