¿Cómo sabe Glassdoor cuál es mi contraseña ... en otros sitios web no relacionados?

1

Acabo de intentar iniciar sesión en Glassdoor y recibí este mensaje:

  

Hemos inhabilitado temporalmente tu cuenta. Hemos identificado que su contraseña coincide con la que usó en un sitio web no relacionado que ha sufrido una violación de seguridad.

Revisé aquí y la única infracción de la que formé parte fue la infracción "Hack Forums": un foro donde mi contraseña era totalmente diferente a los que uso regularmente porque ... es hackear foros, y no confié en ello.

¿Hay algo raro aquí? ¿Cómo podría Glassdoor saber esto?

    
pregunta AmagicalFishy 23.10.2017 - 15:54
fuente

2 respuestas

3

Veo tres posibilidades:

  • Glassdoor sabe sobre una infracción que haveibeenpwned.com no conoce.
  • Glassdoor no está diciendo la verdad. Quizás solo hayan encontrado su correo electrónico en una infracción, y no su contraseña. Podría ser un error honesto, o quizás quieran que parezca más serio y urgente para justificar el trabajo adicional que te obligan a hacer.
  • Su memoria está equivocada y, de hecho, usó la misma contraseña en algún momento (no necesariamente ahora).

La única manera de averiguar cuál es preguntar a Glassdoor.

    
respondido por el Anders 23.10.2017 - 16:25
fuente
2

Probablemente, Glassdoor está haciendo de forma proactiva exactamente lo que hacen los malos, para capturar de forma preventiva la reutilización de contraseñas y proteger su cuenta.

Las contraseñas de otros sitios comprometidos a veces se filtran públicamente (ya sea en forma de texto simple o en una forma que se almacena débilmente y se puede descifrar fácilmente). Parece que Glassdoor ha examinado esas fugas y ha correlacionado al menos una de ellas con su cuenta (probablemente buscando su dirección de correo electrónico en esas fugas y luego verificando si la contraseña de esa fuga coincide con su contraseña de Glassdoor). p>

Por lo general, puede usar un sitio como ¿Me han prometido para comprobar qué fugas (si las hubiera) contienen la dirección de correo electrónico que usa? con puerta de vidrio. Pero parece que ese no es el caso aquí, por lo que Glassdoor puede haber adquirido una fuga que aún no está en HIBP.

Además, dado que HIBP no proporciona las contraseñas en sí mismas, la única forma en que Glassdoor podría hacer esto es si obtuvieron las filtraciones públicas directamente por sí mismas y realizaron la correlación. Como dijo Anders, es posible que lo hayan adquirido directamente o de otra fuente.

A primera vista, Glassdoor está haciendo algo bueno aquí. Los malos actores saben que los usuarios a menudo comparten la misma contraseña en los sitios, por lo que descargan la filtración pública y luego prueban esas combinaciones de correo electrónico / contraseña en otros sitios comunes. Glassdoor está contrarrestando proactivamente eso. Esto es bueno para la seguridad del usuario, y una buena señal de que saben lo que están haciendo.

    
respondido por el Royce Williams 23.10.2017 - 16:34
fuente

Lea otras preguntas en las etiquetas