¿Es seguro usar leakedin.org?

31

leakedin.org afirma que ofrece un servicio para verificar si su contraseña de LinkedIn ha sido robada y si se ha descifrado.

El sitio web afirma que es JavaScript puro, es decir, su contraseña no saldrá de su computadora y le dice que puede proporcionar una contraseña SHA-1 si lo desea. Pero no conozco a las personas que crearon el filtrado, por lo que no sé si son no malintencionados y lo suficientemente competentes como para no hackear su propio sitio web para introducir códigos maliciosos.

Yo abogaría por cambiar su contraseña de linkedin (y cualquier otro sitio web que use la misma contraseña) primero, y solo luego utilice linkedin.org, pero ¿es seguro usar el sitio web?

    
pregunta Andrew Grimm 07.06.2012 - 14:46
fuente

8 respuestas

22

Depende de lo que quiere decir con uso seguro. El servicio cuando lo probé no registra su contraseña de texto simple, pero es probable que esté grabando su hash sin sal. Tenga en cuenta que esto podría cambiarse fácilmente en el futuro y luego podría comenzar a registrar contraseñas de texto simple, a menos que solo ingrese un hash en el sitio. EDITAR: En lugar de utilizar este sitio, recomiendo enlace (basado en esta respuesta ) ya que utiliza https de una entidad conocida y es probable que sea más confiable.

Si escribe su contraseña de texto simple en el campo de origen, el javascript del lado del cliente en su navegador convierte esa contraseña en un hash SHA-1 sin sal, y luego ese hash SHA-1 se envía a través de la red a leakedin.org para ver Si tu hash está en la lista de 6.5 millones. La solicitud de GET de http real enviada desde su navegador a su servidor parece (después de escribir "contraseña" en el campo):

GET /?check=5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 HTTP/1.1
Host: leakedin.org
Connection: keep-alive
User-Agent: [scrubbed]
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://leakedin.org/?check=7ecfd8f97b4729c6ff0799b0b4d40f870083b461
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: first_pv_66595923=1; _jsuid=1189493102
Query String Parametersview URL encoded

La información de la contraseña de texto sin formato no se puede grabar ya que la cookie no cambia significativamente con diferentes contraseñas de texto sin formato, y no se observaron solicitudes AJAX / XHR. (También se envía una solicitud a in.getclicky.com pero parece ser un análisis web benigno, como Google Analytics y no parece registrar su contraseña en texto sin formato ni codificarla de alguna manera).

Sin embargo , debes tener en cuenta que una vez que pruebes este servicio, incluso si linkedin no filtró tu hash sin sal, acabas de filtrar tu hash sin sal a una entidad desconocida. (y esa entidad ahora ha vinculado su contraseña a una dirección IP específica), lo que le preocupó inicialmente. Si crees que un pirata informático dedicado podría forzar tu hash en trillones de intentos que ahora has perdido y debes dejar de usar la contraseña que acabas de probar. Sin embargo, si ya cambió su contraseña y ahora solo tiene curiosidad, puede usar este servicio para verificar. Si está cansado de que registre su contraseña de texto sin formato y no solo el hash, debe recomendar calcular el hash en su propia computadora (por ejemplo, echo -n "password" | shasum o echo -n "password" | openssl sha1 funcionan en linux / unix o si tiene instalado Python, debería capaz de hacer algo como python -c "import hashlib;print hashlib.sha1('your_password').hexdigest() ).

    
respondido por el dr jimbob 07.06.2012 - 17:20
fuente
10

El sentido común dicta que no debe dar su contraseña a nadie, excepto en el sistema en el que se pretende utilizar la contraseña. Por lo tanto, no debe proporcionar su contraseña de ninguna forma a LeakedIn ni a ningún otro sitio de terceros. Incluso podrías estar en violación de los TOS de LinkedIn por hacerlo, dependiendo de cómo esté escrito.

Si el sentido común no es razón suficiente, ponemos nuestros sombreros de papel de aluminio y pensemos en lo que realmente se podría hacer con la información que le das a LeakedIn.

Primero, estableceré algunas presunciones:

  1. Los propietarios del sitio podrían ser maliciosos, o el sitio web / dominio podría estar bajo control / monitoreo malicioso sin que nosotros, el usuario final, lo conozcan. Después de todo, la conexión es HTTP de texto simple sin identificación real & Autenticación en el lugar para demostrar que el contenido del sitio que llega al usuario final fue creado por sus supuestos creadores. Independientemente de cómo funciona LeakedIn ahora, no podemos suponer que continuará operando como (relativamente) benignamente como parece.

  2. Quienquiera que haya pirateado LinkedIn probablemente tenga más información de la que se ha publicado. Lo más probable es que incluya los nombres de usuario y / o las direcciones de correo electrónico asociadas con los hashes de contraseña. Muy bien podría incluir una lista de direcciones IP conocidas para ser utilizadas con cada nombre de usuario. Esta información también podría estar en manos de quien esté controlando o monitoreando LeakedIn.

  3. La mayoría de la gente simplemente va a completar su contraseña de texto sin cifrar y enviar el formulario. El usuario de Joe no sabe o no le importan mucho los hashes SHA1 y, por eso, solo quiere saber si se ha filtrado su contraseña. . Los resultados a continuación presumen que se ingresó una contraseña real.

Todo lo anterior se puede resumir en esto: cuando el Usuario Joe usa LeakedIn, debe suponer que está proporcionando, como mínimo, su dirección IP, contraseña de texto no cifrado y hash de contraseña SHA1 a un desconocido y potencialmente malicioso. entidad.

Dado esto, y la información que estamos suponiendo que la entidad desconocida (en lo sucesivo, el atacante) podría tener ya, ¿qué se podría hacer?

  1. Si la contraseña ya se ha descifrado, no hay beneficios para el atacante.
  2. Si la contraseña aún no se ha descifrado, simplemente lo ha ayudado a descifrar su contraseña. No solo eso, también has roto de manera efectiva el hash de cualquier otra persona que use la misma contraseña (ya que LinkedIn no usó sales) para él.
    • Como mínimo, esto ayuda al atacante a construir un diccionario y una tabla de arco iris para usar en futuros ataques.
    • En el peor de los casos (suponiendo que el atacante tiene direcciones de correo electrónico y nombres de usuario, y las contraseñas no se han cambiado todavía) el atacante ahora tiene acceso a su cuenta en LinkedIn y a cualquier otro sitio donde use la misma contraseña. Lo que es peor, también le has dado efectivamente al atacante el mismo acceso para cualquier otro usuario que podría, sin saberlo, usar la misma contraseña que tienes.

Incluso en el mejor de los casos, que presume que el atacante solo tiene una lista de hashes y el sitio es benigno y solo envía hashes SHA1 al atacante, todavía le está dando un hash de su contraseña y su dirección IP al atacante. El resultado final es que el atacante ahora tiene más información sobre usted que antes, lo cual es algo que generalmente debe evitar. Esto puede facilitar en gran medida futuros ataques contra usted y / o sus cuentas, e incluso podría facilitar ataques contra otras personas que usan la misma contraseña que usted.

    
respondido por el Iszi 07.06.2012 - 18:30
fuente
7

Bueno, hasta cierto punto, hay una pregunta sobre en qué confías en ellos. ya que es solo la contraseña sin nombre de usuario asociado, probablemente sería difícil de explotar sin más trabajo para obtener un nombre de usuario / dirección de correo electrónico para asociar la contraseña.

Dicho esto, obviamente, ir a cualquier sitio web desconocido e interactuar con él podría presentar un riesgo (por ejemplo, alguien que use Beef o similar) ...

Si desea verificar el estado de su contraseña de linkedin, estaría más inclinado a usar el corrector en lastpass . Tienen una reputación en el campo de la seguridad que proteger y también su página usa SSL, por lo que hay menos riesgo de que su contraseña se filtre ...

    
respondido por el Rоry McCune 07.06.2012 - 14:57
fuente
5

Como dice el principal principal de seguridad: be careful about whom you are required to trust . Nunca coloqué mi contraseña (en texto sin formato) en el lugar que me anima a hacerlo.

leakedin.org nos pregunta acerca de nuestra contraseña en texto plano e indica si nuestra contraseña se filtró o no. Esto significa que podrían poseer la parte de la base de datos filtrada. Si las intenciones de leakedin.org son malas, entonces podrían almacenar las contraseñas escritas en su base de datos por la razón obvia: crear un diccionario que ayude a descifrar más rápidamente las contraseñas no resquebrajadas. Por supuesto, no estoy diciendo que leakedin.org utilice el método descrito, pero desde el punto de vista de la seguridad: deberíamos pensar cuál es nuestro riesgo, si pudieran almacenar contraseñas escritas.

En segundo lugar, no estoy seguro de por qué quieres comprobarlo. La curiosidad mató al gato. Solo debe cambiar su contraseña en linkedin (y cualquier otro sitio web que use la misma) y olvidarse de su contraseña anterior.

    
respondido por el p____h 07.06.2012 - 15:24
fuente
5

Tan pronto como escriba algo en un cuadro de entrada en una página web, considérelo potencialmente divulgado. La comunicación puede ocurrir de forma asíncrona a través de JavaScript (también conocido como AJAX) sin que haga clic en un botón de envío. Si es JavaScript verdaderamente puro, deberías poder ver los hashes en la fuente por ti mismo. Sácalos, calcula el sha1 localmente, y luego haz la comprobación tú mismo. Alternativamente, busque la filtración y vea lo que realmente se reveló.

Si tenía una cuenta de LinkedIn, cambie su contraseña independientemente . No hay garantía de que la divulgación estuviera completa. Es decir, no hay garantía de que LeakedIn o cualquier otra fuente realmente tenga todo lo que se filtró, todavía .

    
respondido por el chao-mu 07.06.2012 - 16:28
fuente
1

Falta una cosa en esta discusión:

Al menos las primeras 24 horas de leakedin.org en línea estaban usando un servicio de seguimiento de usuarios externos. Debido a que el hash de contraseña se envía a través de la URL mediante el formulario HTML en leakedin.org, el servicio externo obtuvo una copia de cada hash de contraseña analizado por leakedin.org.

Esto significa que cualquier cosa que el servicio le haya informado sobre el estado de la pérdida de su contraseña, simplemente ingresándola, le dio el hash a los archivos de registro de una empresa de seguimiento de usuarios llamada GetClicky.

    
respondido por el Dr. Brainiac 08.06.2012 - 11:12
fuente
0

Analicé lo que se envía al servidor y solo se envía el hash, no otra información.

Ahora, como mencionó @drjimbob, dado que LinkedIn no agrega un nombre de salt en su contraseña (ni Leakedin.org en ese momento), se puede revertir fácilmente a su contraseña original con una tabla de arco iris.

Finalmente, incluso si esto es posible, estoy seguro de que no tienes que estar paranoico: en el peor de los casos, Leakedin obtendrá tu contraseña + ip, no más. Con esas dos informaciones, no pueden hacer mucho.

Pero tenga en cuenta que si su contraseña ha sido comprometida, significa que con solo la contraseña con hash, pueden encontrar el nombre de usuario asociado (ya que la fuga contiene nombre de usuario + contraseña). Pueden probar esta contraseña con otros servicios como Facebook, y si usa el mismo nombre de usuario / contraseña, todas sus cuentas pueden verse comprometidas.

Ahora, Leakedin.org se ha creado con Chris Shiflett , alguien muy conocido en la comunidad de PHP. Dudo que él hiciera algo tan malo como almacenar tu contraseña probada.

LastPass también sugiere una herramienta similar , pero al igual que Leakedin.org, incluso si la compañía que la respalda es más confiable, puedes ' No te olvides de que no almacenarán tus credenciales.

Lo que sería mejor es:

  1. Poner toda la base de datos en javascript y todo el algoritmo en claro en la página. ¡Pero sería una carga tremenda!
  2. Ponga el sistema que analiza su hash en una fuente pública para que todos puedan verificar si su contraseña está almacenada o simplemente comparada.
respondido por el Cyril N. 07.06.2012 - 19:26
fuente
0

Como han señalado otros, hay límites en cuanto a qué tan seguro se puede demostrar que es un servicio como leakedin.org, e incluso más debilidades potenciales.

Mejor es comprobar tu contraseña sin conexión a ti mismo. En este momento, puede descargar un script Ruby o a script de python o una shell script que puede inspeccionar y ejecutar en su propia computadora para realizar la comprobación, siempre que tenga el archivo hash filtrado combo_not.txt . Ese archivo está apareciendo y desapareciendo en la red, pero debe ser accesible a través de bittorrent durante mucho tiempo. A partir de este momento, puede obtener el archivo desde varios lugares

respondido por el Major Major 08.06.2012 - 16:26
fuente

Lea otras preguntas en las etiquetas