Según informan en Hacker News el servicio de notificaciones de brechas de seguridad, LeakBase ha obtenido una copia de la base de datos.
La filtración incluye los hash de las contraseñas de 28,722,877 cuentas, que además usaban el algoritmo MD5, uno de los más desactualizados y fáciles de romper.
LeakBase compartió con Hacker News unos 4,5 millones de usuarios para ayudarles a comprobar la veracidad de la base de datos. Usando las direcciones de email encontradas, contactaron varios usuarios de Taringa monstrándoles sus contraseñas en texto plano y estos verificaron que se trataba de datos correctos.
¿Inteligencia colectiva?
Entre los datos recolectados podemos ver la lista de las 50 contraseñas más usadas por los usuarios de Taringa, y el ganador indiscutible es "123456789", usada por más de 160,000 usuarios.
Más de 11,000 personas usan "contraseña" como contraseña, unos 5,000 utilizan "realmadrid". "qwerty", "mierda" y "poringa" también superan los 5000 usuarios, desbordando creatividad e inteligencia colectiva.
Entre la terrible elección de contraseñas por parte de los usuarios, y el obsoleto método de cifrado de los passwords que usa Taringa, además de no forzar el uso de contraseñas más fuertes, se mezcló un cóctel perfecto de malas prácticas de seguridad para dar como resultado esta brecha.
Taringa había avisado de la brecha en un post el mes pasado, diciendo que los atacantes aún tenían acceso a la base de datos. Ahí también dijeron que habían tomado las medidas necesarias para avisar a los usuarios, y que trabajarían en usar un sistema de cifrado de contraseñas más robusto.
Si eres usuario de Taringa no sobra decirte que cambies tu contraseña, no solo en Taringa sino en cualquier otro sitio donde uses el mismo email, especialmente si tu contraseña de elección forma parte de esa catastrófica lista.