Parece que el robo de credenciales está de moda y nosotros no ganamos para sustos. El investigador de seguridad independiente Troy Hunt ha revelado hoy que recibió un paquete de datos que contiene 6,5469,298 emails y contraseñas desordenadas, que según un donante anónimo pertenecen a usuarios de Tumblr. El investigador rastreó el paquete de datos hasta el mercado de la Dark Web The Real Deal, donde un hacker, de nombre Peace (también conocido como Peace_of_mind) lo vende por 0,4255 Bitcoins (225 dólares). El investigador afirma que las contraseñas incluidas en el paquete de datos parecen estar encriptadas y salteadas, lo que significa que su almacenamiento es mucho más seguro que el de aquellas contraseñas almacenadas en sitios como LinkedIn y MySpace, que también han sido víctimas de enormes filtraciones de datos. En esos casos, los datos sólo estaban encriptados con SHA1, y el equipo de LeakedSource consiguió crackear la mayor parte de las contraseñas filtradas.
Tumblr aún no ha pronunciado una declaración oficial sobre el incidente, pero la plataforma de blogging de Yahoo se mencionó el 12 de mayo sobre una filtración de datos potencial. Entonces, el equipo de Tumblr reveló que habían recibido un chivatazo sobre una posible filtración de datos originada en 2013, antes de que Yahoo adquiriera la plataforma Tumblr. El equipo de Tumblr no reveló el número de usuarios afectados, pero dijo que habían empezado el proceso de reseteo de las contraseñas cuyos usuarios podrían haber sido afectados.
Uno de cada ocho usuarios de Tumblr han sido afectados
Las últimas estadísticas de Tumblr revelan que la plataforma cuenta con cerca de 550 millones de usuarios, lo que significa que un octavo del total de la base de usuarios ha sido afectada. Troy Hunt es el hombre tras el servicio online Have I’ve Been Pwned, donde los usuarios pueden buscar en su enorme base de datos los detalles de filtraciones públicas. Hunt dice que añadió los datos de Tumblr a su base de datos, y que los usuarios pueden buscar para ver si sus credenciales han quedado expuestas. Peace, el hacker que vende los datos, es la misma persona que puso a la venta las filtraciones de MySpace y LinkedIn, y también de otros servicios online como Fling.com y el foro Linux Mint.
