La base de datos de HTCMania ha sufrido un robo masivo de datos que ha afectado a 1.488.089 cuentas de este conocido foro de movilidad en español.
Desde el servicio HaveIBeenPwned han confirmado un robo masivo de datos que se produjo en enero de 2020. El foro, basado en la plataforma vBulletin, expuso nombres de usuario, direcciones IP, fechas de nacimiento y contraseñas cifradas.
Las direcciones de correo quedan al descubierto, pero no las contraseñas asociadas a ellos
Jorge_kai, administrador de HTCMania, ya indicaba el pasado 1 de marzo que se había producido un posible acceso no autorizado al foro. Los responsables de esta plataforma se pusieron en contacto con el Grupo de Delitos Telemáticos de la Guardia Civil y comprobaron que efectivamente esos datos se habían filtrado.
Como explicaba su administrador, aunque se había accedido a esos datos las contraseñas de esa base de datos estaban cifradas con el sistema MD5 con doble salt, un sistema que permite salvaguardar mejor esas contraseñas incluso si acaban siendo robadas. El acceso se produjo no a través del software del foro, concluyeron, sino a nivel de las propias máquinas donde están hospedados estos foros.
También se destacaba que "en la base de datos no tenemos ningún otro dato sensible más allá de un correo de registro", y recomendaban cambiar la contraseña no solo ahora, sino periódicamente para proteger este tipo de incidencias.
Como siempre, no está de más comprobar si tu dirección de correo está afectada por el problema. Para ello basta con ir a HaveIBeenPwned e introducirla, lo que nos permitirá si formaba parte de esa base de datos o de las de otras robadas en otros servicios web en el pasado.
Ver 13 comentarios
13 comentarios
Alberto
"las contraseñas de esa base de datos estaban cifradas con el sistema MD5 con doble salt"
Por matizar un poco:
1 - Cifradas no es la palabra, se guarda un hash o resumen. Es la práctica habitual, la contraseña como tal no se guarda, se guarda un dato (el hash) con el que puedes comprobar que una contraseña es correcta, pero sabiendo el hash no puedes obtener la contraseña. El hash de cada usuario es lo que han robado, para saber la contraseña que generó ese hash hay que probar muchas combinaciones (fuerza bruta o usar diccionarios) hasta que una combinación genere un hash igual, y entonces ya has "adivinado" las contraseña.
2 - El hash de HTC Manía no se genera con función de hash MD5 con doble salt sino doble MD5 con salt (es decir, md5(md5(pass + salt))), el mecanismo estándar de vBulletin que es el software que usa el foro, vaya. Las dos iteraciones de md5 son para tardar el doble a la hora de adivinar la contraseña y la salt es un dato aleatorio distinto para cada usuario que impide adivinar las contraseñas de varios usuarios a la vez porque los cálculos hay que repetirlos individualmente.
El problema de MD5 es que es muy antiguo y cualquier equipo con alta capacidad de cómputo te puede comprobar millones de hashes por segundo. Suponiendo contraseñas alfanuméricas significa que puedes adivinar cualquier contraseña de hasta 8 caracteres en apenas unas horas contando con el equipo adecuado (que no hace falta ni tenerlo en casa, alquilas algún servidor de computación en la nube y a correr).
dabelo
Lo malo que tiene MD5 es que es muy rápido descifrando y que ya existe una bbdd de contraseñas descifradas muy grande.
https://www.md5online.org/md5-decrypt.html
tangoleto
Que quiere decir que las contraseñas estaban cifradas? Significa eso que no tienen acceso a ellas, o que no pueden descifrarlas? Lo dudo mucho.
phluisma
No sería mejor decir que han sido robadas, pirateadas, etc????
Los hackers no son ciberdelincuentes... son gente buena que hace cosas tan buenas como protectores para los sanitarios, ayuda a diseñar respiradores, etc.
sologizmos
aaaja, la meto, pero tal web ya tiene mi correo "x" usado para "x" fin no?