De los cerca de 37 millones de perfiles de Ashley Madison que filtró Impact Team, 15.260.000 tienen contraseñas fáciles de crackear por errores de programación. En sólo unos días, un grupo de hackers ha conseguido descifrar 11 millones de esas contraseñas.
Las contraseñas de Ashley Madison están protegidas con un algoritmo muy robusto llamado bcrypt. Normalmente se tardarían décadas en descifrar contraseñas que utilizan este hash, pero los hackers de CynoSure Prime tomaron otro camino mucho más rápido.
Estudiando el código fuente y la base de datos descubrieron que la variable $loginkey, que se utiliza cuando el usuario inicia sesión, lleva el nombre y la contraseña de usuario pasados a minúsculas. ¿Encriptadas con bcrypt? ¡No! Con MD5, un algoritmo mucho más rápido y mucho más inseguro que bcrypt. Descifrar estas claves es coser y cantar.
Hay 15,26 millones de claves en $loginkey, pero hay que tener en cuenta que no son las contraseñas reales porque están pasadas a minúsculas. Si la clave obtenida es “futbol”, la contraseña real podría ser “Futbol” o “FUTbol” o “FuTboL”. No obstante, si se conoce la alternativa en minúsculas, conseguir la contraseña real no lleva mucho tiempo, por mucho que esté hasheada con bcrypt.
Eso es lo que está pasando. En sólo unos días, CynoSure asegura que han conseguido averiguar 11 millones de contraseñas de usuarios, un tercio del total de Ashley Madison. No tardarán en llegar a las 15,26. Algo que nunca habría pasado sin los errores de programación de la empresa. [vía Ars Technica]
***
Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)