fbpx
Wikipedia

Credential stuffing

Agosto 03, 2021

El relleno de credenciales o la reutilización de credenciales robadas es un tipo de ataque cibernético en el que las credenciales de cuentas robadas que suelen consistir en listas de nombres de usuario y / o direcciones de correo electrónico y las contraseñas correspondientes (a menudo de una violación de datos) se utilizan para obtener acceso no autorizado a las cuentas de usuario (informática) a través de solicitudes de inicio de sesión automatizadas a gran escala dirigidas contra una aplicación web.[1]​ A diferencia del descifrado de credenciales, los ataques de relleno de credenciales no intentan forzar ni adivinar ninguna contraseña; el atacante simplemente automatiza los inicios de sesión para una gran cantidad (de miles a millones) de pares de credenciales previamente descubiertos utilizando herramientas de automatización web estándar como Selenium, cURL, PhantomJS o herramientas diseñadas específicamente para este tipo de ataques como: Sentry MBA, SNIPR, STORM, Blackbullet y Openbullet.[2][3]

Los ataques de relleno de credenciales son posibles porque muchos usuarios reutilizan la misma combinación de nombre de usuario / contraseña en varios sitios. A partir de una encuesta que informa que el 81% de los usuarios han reutilizado una contraseña en dos o más sitios y el 25% de los usuarios utilizan las mismas contraseñas en la mayoría de los sitios. sus cuentas.[4]

Derrames de credenciales

Los ataques de relleno de credenciales se consideran una de las principales amenazas para las aplicaciones web y móviles como resultado del volumen de usos de las credenciales. Más de 3000 millones de credenciales se usaron a través de violaciones de datos en línea solo en 2016.[5]

Origen

El término fue acuñado por Sumit Agarwal, cofundador de Shape Security, quien se desempeñaba como subsecretario adjunto de Defensa en el Pentágono en ese momento.[6]

Incidentes

El 20 de agosto de 2018, Superdrug del Reino Unido fue atacado con un intento de chantaje, se proporcionó evidencia que afirmaba que los piratas informáticos habían penetrado en el sitio y descargado los registros de 20,000 usuarios. Lo más probable es que la evidencia se haya obtenido de piratas informáticos, y utilizaciones, y luego se utilizó como fuente de ataques de relleno de credenciales para recopilar información y crear la evidencia falsa.[7][8]

En octubre-noviembre de 2016, los atacantes obtuvieron acceso a un repositorio privado de GitHub utilizado por los desarrolladores de Uber (Uber BV y Uber UK), utilizando los nombres de usuario y contraseñas de los empleados que habían sido comprometidos en violaciones anteriores. Los piratas informáticos afirmaron haber secuestrado las cuentas de usuario de 12 empleados utilizando el método de relleno de credenciales, ya que las direcciones de correo electrónico y las contraseñas se habían reutilizado en otras plataformas. La autenticación de múltiples / dos factores, aunque está disponible, no se activó para las cuentas afectadas. Posteriormente, los piratas informáticos localizaron las credenciales para el almacén de datos de AWS de la empresa en los archivos del repositorio y, por lo tanto, pudieron obtener acceso a los registros de 32 millones de usuarios no estadounidenses y 3,7 millones de controladores no estadounidenses, así como a otros datos contenidos en más de 100 S3. cubos. Los atacantes alertaron a Uber y exigieron el pago de $ 100,000 para aceptar eliminar los datos. La compañía pagó a través de un ' programa de recompensas por errores', pero no reveló el incidente a las partes afectadas durante más de un año. Después de que saliera a la luz la infracción, la Oficina del Comisionado de Información del Reino Unido multó a la empresa con 385.000 libras esterlinas (reducidas a 308.000 libras esterlinas).[9]

Comprobación de credenciales comprometidas

La verificación de credenciales comprometidas es una técnica mediante la cual se notifica a los usuarios cuando las contraseñas son violadas por sitios web, navegadores web o extensiones de contraseña.

En febrero de 2018, el científico informático británico Junade Ali creó un protocolo de comunicación (utilizando k -anonimato y hash criptográfico ) para verificar de forma anónima si se filtró una contraseña sin revelar completamente la contraseña buscada.[10][11]​ Este protocolo se implementó como una API pública en el servicio de Hunt y ahora es consumido por múltiples sitios web y servicios, incluidos administradores de contraseñas [12][13]​ y extensiones de navegador.[14][15]​ Este enfoque fue posteriormente replicado por la función de verificación de contraseñas de Google.[16][17][18]​ Ali trabajó con académicos de la Universidad de Cornell para desarrollar nuevas versiones de este protocolo conocido como Bucketización de tamaño de frecuencia y Bucketización basada en identificadores.[19]​ En marzo de 2020, se agregó el relleno criptográfico a este protocolo.[20]

Implementaciones de verificación de credenciales comprometidas

Protocolo Desarrolladores Hecho público Referencias
k-anonimato Junade Ali ( Cloudflare ), Troy Hunt ( ¿Me han engañado? ) 21 de febrero de 2018 [21][22]
Bucketización de suavizado de frecuencia y agrupación basada en identificadores Universidad de Cornell (Lucy Li, Bijeeta Pal, Rahul Chatterjee, Thomas Ristenpart), Cloudflare ( Junade Ali, Nick Sullivan) Mayo de 2019
Verificación de contraseña de Google (GPC) Google, Universidad de Stanford Agosto de 2019 [23][24]
Detección activa de relleno de credenciales Universidad de Carolina del Norte en Chapel Hill (Ke Coby Wang, Michael K. Reiter) Diciembre de 2019 [25]

Véase también

Referencias

  1. «Credential Stuffing». OWASP. 
  2. «Credential Spill Report». Shape Security. January 2017. «The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts». 
  3. «Use of credential stuffing tools – NCSC». 
  4. «Wake-Up Call on Users' Poor Password Habits». SecureAuth. July 2017. 
  5. Chickowski, Ericka (January 17, 2017). «Credential-Stuffing Attacks Take Enterprise Systems By Storm». DarkReading. Consultado el February 19, 2017. 
  6. Townsend, Kevin (January 17, 2017). «Credential Stuffing: a Successful and Growing Attack Methodology». Security Week. Consultado el February 19, 2017. 
  7. «Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug». 
  8. «Superdrug Rebuffs Super Ransom After Supposed Super Heist – Finance Crypto Community». 23 August 2018. 
  9. «Monetary Penalty Notice (Uber)». Information Commissioner's Office. 27 November 2018. 
  10. «Find out if your password has been pwned—without sending it to a server» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
  11. «1Password bolts on a 'pwned password' check – TechCrunch». techcrunch.com (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
  12. «1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online» (en inglés). Consultado el 24 de mayo de 2018. 
  13. Conger, Kate. «1Password Helps You Find Out if Your Password Is Pwned» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
  14. Condon, Stephanie. «Okta offers free multi-factor authentication with new product, One App | ZDNet» (en inglés). Consultado el 24 de mayo de 2018. 
  15. Coren, Michael J. «The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically» (en inglés estadounidense). Consultado el 24 de mayo de 2018. 
  16. Wagenseil I, Paul. «Google's New Chrome Extension Finds Your Hacked Passwords». www.laptopmag.com. 
  17. «Google Launches Password Checkup Extension to Alert Users of Data Breaches». BleepingComputer (en inglés estadounidense). 
  18. Dsouza, Melisha (6 February 2019). «Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach». Packt Hub. 
  19. Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (6 de noviembre de 2019). «Protocols for Checking Compromised Credentials». Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (New York, NY, USA: ACM): 1387-1403. Bibcode:2019arXiv190513737L. ISBN 978-1-4503-6747-9. arXiv:1905.13737. doi:10.1145/3319535.3354229. 
  20. Ali, Junade (4 March 2020). «Pwned Passwords Padding (ft. Lava Lamps and Workers)». The Cloudflare Blog (en inglés). Consultado el 12 de mayo de 2020. 
  21. Ali, Junade (21 February 2018). «Validating Leaked Passwords with k-Anonymity». The Cloudflare Blog (en inglés). Consultado el 12 de mayo de 2020. 
  22. Ali, Junade (5 October 2017). Mechanism for the prevention of password reuse through Anonymized Hashes (en inglés). PeerJ Preprints. Consultado el 12 de mayo de 2020. 
  23. Thomas, Kurt; Pullman, Jennifer; Yeo, Kevin; Raghunathan, Ananth; Kelley, Patrick Gage; Invernizzi, Luca; Benko, Borbala; Pietraszek, Tadek et al. (2019). Protecting accounts from credential stuffing with password breach alerting (en inglés). pp. 1556-1571. 
  24. Cimpanu, Catalin. «Google launches Password Checkup feature, will add it to Chrome later this year» (en inglés). Consultado el 12 de mayo de 2020. 
  25. Wang, Ke Coby; Reiter, Michael K. (2020). Detecting Stuffing of a User's Credentials at Her Own Accounts (en inglés). arXiv:1912.11118. 

Enlaces externos

  • " Entrada de OWASP sobre relleno de credenciales "
  • " HaveIBeenPwned ": compruebe si tiene una cuenta que se ha visto comprometida en una violación de datos y es susceptible de ser explotada a través de un ataque de relleno de credenciales.
  •   Datos: Q28134936

Agosto 03, 2021
credential, stuffing, relleno, credenciales, reutilización, credenciales, robadas, tipo, ataque, cibernético, credenciales, cuentas, robadas, suelen, consistir, listas, nombres, usuario, direcciones, correo, electrónico, contraseñas, correspondientes, menudo, . El relleno de credenciales o la reutilizacion de credenciales robadas es un tipo de ataque cibernetico en el que las credenciales de cuentas robadas que suelen consistir en listas de nombres de usuario y o direcciones de correo electronico y las contrasenas correspondientes a menudo de una violacion de datos se utilizan para obtener acceso no autorizado a las cuentas de usuario informatica a traves de solicitudes de inicio de sesion automatizadas a gran escala dirigidas contra una aplicacion web 1 A diferencia del descifrado de credenciales los ataques de relleno de credenciales no intentan forzar ni adivinar ninguna contrasena el atacante simplemente automatiza los inicios de sesion para una gran cantidad de miles a millones de pares de credenciales previamente descubiertos utilizando herramientas de automatizacion web estandar como Selenium cURL PhantomJS o herramientas disenadas especificamente para este tipo de ataques como Sentry MBA SNIPR STORM Blackbullet y Openbullet 2 3 Los ataques de relleno de credenciales son posibles porque muchos usuarios reutilizan la misma combinacion de nombre de usuario contrasena en varios sitios A partir de una encuesta que informa que el 81 de los usuarios han reutilizado una contrasena en dos o mas sitios y el 25 de los usuarios utilizan las mismas contrasenas en la mayoria de los sitios sus cuentas 4 Indice 1 Derrames de credenciales 2 Origen 3 Incidentes 4 Comprobacion de credenciales comprometidas 4 1 Implementaciones de verificacion de credenciales comprometidas 5 Vease tambien 6 Referencias 7 Enlaces externosDerrames de credenciales EditarLos ataques de relleno de credenciales se consideran una de las principales amenazas para las aplicaciones web y moviles como resultado del volumen de usos de las credenciales Mas de 3000 millones de credenciales se usaron a traves de violaciones de datos en linea solo en 2016 5 Origen EditarEl termino fue acunado por Sumit Agarwal cofundador de Shape Security quien se desempenaba como subsecretario adjunto de Defensa en el Pentagono en ese momento 6 Incidentes EditarEl 20 de agosto de 2018 Superdrug del Reino Unido fue atacado con un intento de chantaje se proporciono evidencia que afirmaba que los piratas informaticos habian penetrado en el sitio y descargado los registros de 20 000 usuarios Lo mas probable es que la evidencia se haya obtenido de piratas informaticos y utilizaciones y luego se utilizo como fuente de ataques de relleno de credenciales para recopilar informacion y crear la evidencia falsa 7 8 En octubre noviembre de 2016 los atacantes obtuvieron acceso a un repositorio privado de GitHub utilizado por los desarrolladores de Uber Uber BV y Uber UK utilizando los nombres de usuario y contrasenas de los empleados que habian sido comprometidos en violaciones anteriores Los piratas informaticos afirmaron haber secuestrado las cuentas de usuario de 12 empleados utilizando el metodo de relleno de credenciales ya que las direcciones de correo electronico y las contrasenas se habian reutilizado en otras plataformas La autenticacion de multiples dos factores aunque esta disponible no se activo para las cuentas afectadas Posteriormente los piratas informaticos localizaron las credenciales para el almacen de datos de AWS de la empresa en los archivos del repositorio y por lo tanto pudieron obtener acceso a los registros de 32 millones de usuarios no estadounidenses y 3 7 millones de controladores no estadounidenses asi como a otros datos contenidos en mas de 100 S3 cubos Los atacantes alertaron a Uber y exigieron el pago de 100 000 para aceptar eliminar los datos La compania pago a traves de un programa de recompensas por errores pero no revelo el incidente a las partes afectadas durante mas de un ano Despues de que saliera a la luz la infraccion la Oficina del Comisionado de Informacion del Reino Unido multo a la empresa con 385 000 libras esterlinas reducidas a 308 000 libras esterlinas 9 Comprobacion de credenciales comprometidas EditarLa verificacion de credenciales comprometidas es una tecnica mediante la cual se notifica a los usuarios cuando las contrasenas son violadas por sitios web navegadores web o extensiones de contrasena En febrero de 2018 el cientifico informatico britanico Junade Ali creo un protocolo de comunicacion utilizando k anonimato y hash criptografico para verificar de forma anonima si se filtro una contrasena sin revelar completamente la contrasena buscada 10 11 Este protocolo se implemento como una API publica en el servicio de Hunt y ahora es consumido por multiples sitios web y servicios incluidos administradores de contrasenas 12 13 y extensiones de navegador 14 15 Este enfoque fue posteriormente replicado por la funcion de verificacion de contrasenas de Google 16 17 18 Ali trabajo con academicos de la Universidad de Cornell para desarrollar nuevas versiones de este protocolo conocido como Bucketizacion de tamano de frecuencia y Bucketizacion basada en identificadores 19 En marzo de 2020 se agrego el relleno criptografico a este protocolo 20 Implementaciones de verificacion de credenciales comprometidas Editar Protocolo Desarrolladores Hecho publico Referenciask anonimato Junade Ali Cloudflare Troy Hunt Me han enganado 21 de febrero de 2018 21 22 Bucketizacion de suavizado de frecuencia y agrupacion basada en identificadores Universidad de Cornell Lucy Li Bijeeta Pal Rahul Chatterjee Thomas Ristenpart Cloudflare Junade Ali Nick Sullivan Mayo de 2019Verificacion de contrasena de Google GPC Google Universidad de Stanford Agosto de 2019 23 24 Deteccion activa de relleno de credenciales Universidad de Carolina del Norte en Chapel Hill Ke Coby Wang Michael K Reiter Diciembre de 2019 25 Vease tambien EditarFiltracion de datosReferencias Editar Credential Stuffing OWASP Credential Spill Report Shape Security January 2017 The most popular credential stuffing tool Sentry MBA uses config files for target websites that contain all the login sequence logic needed to automate login attempts Use of credential stuffing tools NCSC Wake Up Call on Users Poor Password Habits SecureAuth July 2017 Chickowski Ericka January 17 2017 Credential Stuffing Attacks Take Enterprise Systems By Storm DarkReading Consultado el February 19 2017 Townsend Kevin January 17 2017 Credential Stuffing a Successful and Growing Attack Methodology Security Week Consultado el February 19 2017 Super mugs Hackers claim to have snatched 20k customer records from Brit biz Superdrug Superdrug Rebuffs Super Ransom After Supposed Super Heist Finance Crypto Community 23 August 2018 Monetary Penalty Notice Uber Information Commissioner s Office 27 November 2018 Find out if your password has been pwned without sending it to a server en ingles estadounidense Consultado el 24 de mayo de 2018 1Password bolts on a pwned password check TechCrunch techcrunch com en ingles estadounidense Consultado el 24 de mayo de 2018 1Password Integrates With Pwned Passwords to Check if Your Passwords Have Been Leaked Online en ingles Consultado el 24 de mayo de 2018 Conger Kate 1Password Helps You Find Out if Your Password Is Pwned en ingles estadounidense Consultado el 24 de mayo de 2018 Condon Stephanie Okta offers free multi factor authentication with new product One App ZDNet en ingles Consultado el 24 de mayo de 2018 Coren Michael J The world s biggest database of hacked passwords is now a Chrome extension that checks yours automatically en ingles estadounidense Consultado el 24 de mayo de 2018 Wagenseil I Paul Google s New Chrome Extension Finds Your Hacked Passwords www laptopmag com Google Launches Password Checkup Extension to Alert Users of Data Breaches BleepingComputer en ingles estadounidense Dsouza Melisha 6 February 2019 Google s new Chrome extension Password CheckUp checks if your username or password has been exposed to a third party breach Packt Hub Li Lucy Pal Bijeeta Ali Junade Sullivan Nick Chatterjee Rahul Ristenpart Thomas 6 de noviembre de 2019 Protocols for Checking Compromised Credentials Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security New York NY USA ACM 1387 1403 Bibcode 2019arXiv190513737L ISBN 978 1 4503 6747 9 arXiv 1905 13737 doi 10 1145 3319535 3354229 Ali Junade 4 March 2020 Pwned Passwords Padding ft Lava Lamps and Workers The Cloudflare Blog en ingles Consultado el 12 de mayo de 2020 Ali Junade 21 February 2018 Validating Leaked Passwords with k Anonymity The Cloudflare Blog en ingles Consultado el 12 de mayo de 2020 Ali Junade 5 October 2017 Mechanism for the prevention of password reuse through Anonymized Hashes en ingles PeerJ Preprints Consultado el 12 de mayo de 2020 Thomas Kurt Pullman Jennifer Yeo Kevin Raghunathan Ananth Kelley Patrick Gage Invernizzi Luca Benko Borbala Pietraszek Tadek et al 2019 Protecting accounts from credential stuffing with password breach alerting en ingles pp 1556 1571 Se sugiere usar numero autores ayuda Cimpanu Catalin Google launches Password Checkup feature will add it to Chrome later this year en ingles Consultado el 12 de mayo de 2020 Wang Ke Coby Reiter Michael K 2020 Detecting Stuffing of a User s Credentials at Her Own Accounts en ingles arXiv 1912 11118 Enlaces externos Editar Entrada de OWASP sobre relleno de credenciales HaveIBeenPwned compruebe si tiene una cuenta que se ha visto comprometida en una violacion de datos y es susceptible de ser explotada a traves de un ataque de relleno de credenciales Datos Q28134936Obtenido de https es wikipedia org w index php title Credential stuffing amp oldid 136061385, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos