Entre els comptes també n’hi havia alguns de vinculats a dotzenes de governs d’una trentena de països.

L’exposició massiva de credencials en línia continua sent un dels riscos més grans a què s’enfronten usuaris, empreses i governs en l’ecosistema digital actual. Cada nova bretxa reforça una realitat incòmoda: les nostres identitats a la xarxa estan molt més desprotegides del que pensem. 

L’última alerta ve d’un investigador que ha destapat una base de dades accessible públicament amb milions de combinacions d’usuaris i contrasenyes que pertanyen a algunes de les plataformes més utilitzades del món.

La troballa l’ha dut a terme Jeremiah Fowler, investigador de seguretat i expert en bretxes de dades. Aquest va descobrir una base de dades d’Elastic amb 184 milions de registres que ocupava més de 47 GB. Ell va informar de l’exposició de dades a l’empresa d’allotjament on estava allotjada, World Host Group, que va cancel·lar ràpidament l’accés.

La varietat i abast massiu d’aquests detalls de login, que inclouen comptes connectats a una gran varietat de serveis digitals, indiquen que es tracta d’algun tipus de compilació, potser guardada per investigadors que investiguen alguna activitat cibercriminal o robada per un infostealer, segons especula Wired.

«Aquest és probablement un dels casos més rars que he trobat en molts anys», assenyala Fowler. «Quant al risc, és molt més gran que la majoria dels que trobo, perquè es tracta d’accés directe a comptes individuals. És la llista de tasques somiada per qualsevol ciberdelinqüent», afegeix. 

Cada registre comprenia una etiqueta d’identificació per al tipus de compte, un URL per a cada lloc web o servei, a més de noms d’usuari i contrasenyes en text pla. Fowler explica que el camp de contrasenya es deia Senha, paraula portuguesa per indicar una clau. 

Credencials per donar i prendre

En una mostra de 10.000 registres analitzada per l’investigador hi havia 479 comptes de Facebook, 475 de Google, 240 d’Instagram, 227 de Roblox, 209 de Discord i més d’un centenar de Microsoft, Netflix i PayPal. A més, també hi havia credencials d’Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress i Yahoo, entre molts altres. 

Fowler va voler assegurar-se de l’autenticitat d’aquestes dades i va escriure a una mostra de les adreces de correu electrònic exposades i alguns li van respondre que es tractava de comptes genuïns. 

Més enllà dels riscos per a les persones, els detalls de les quals han estat vulnerats, també s’han detectat riscos per a la seguretat nacional. L’investigador destaca que hi havia 220 adreces de correu electrònic amb dominis .gov. Aquestes estaven vinculades a almenys 29 països.

De moment no se sap qui va crear aquesta base de dades ni d’on provenien originalment les dades d’accés. Per al descobridor, tot apunta que podria ser un atacant o atacants que van fer servir un lladre d’informació. 

Encara que la base de dades ja està protegida i, en última instància, completament desmantellada, no és clar si algú més, a part de Fowler, hi va accedir mentre encara estava activa. Com amb qualsevol base de dades exposada, la preocupació és que es puguin robar i fer servir de manera indeguda dades confidencials.