Si usted tiene una cuenta con una compañía cuyos servidores han sido hackeados, puede estar nervioso al tener que preguntarse si sus datos privados se ha filtrado en Internet. Afortunadamente, un nuevo servicio Web trata de aunar todas las filtraciones de datos de cuentas en Internet y hacer más fácil que usted pueda comprobar si está en la lista. PwnedList (pwnedlist.com) es una idea original de Alan Puzic, un investigador de seguridad profesional de inteligencia, un hacker de “sombrero blanco” (el bueno de la película). PwnedList nació en julio de 2011 como un servicio público para ayudar a personas de ideas afines sobre privacidad para verificar la seguridad de sus cuentas en línea. “Nuestro objetivo era diseñar un portal fácil de utilizar donde un usuario medio puede comprobar si sus contrasennas de cuenta de correo se han filtrado”, dijo Puzic en una entrevista con PCWorld. En una semana, Puzic y su equipo (incluidos los investigadores de seguridad Stephen Thomas y Spelman Jasiel) habían reunido más de un millón de cuentas comprometidas con información de sitios web como The Pirate Bay y Pastebin, las redes sociales como Twitter, e incluso los foros de hackers y salas de chat. En el momento de la entrevista, PwnedList había estado funcionando durante casi seis meses, y su base de datos se aproxima a tener 10 millones de entradas. Pero no te preocupes: A pesar de que la gente de PwnedList están en constante búsqueda de nombres de usuarios comprometidos, direcciones de correo electrónico y contraseñas, no almacenan toda la información en la base de datos de PwnedList. En su lugar, se llevan todos los datos de las cuentas comprometidas que encuentran y usan un algoritmo para crear una cadena única de caracteres alfanuméricos para cada nombre de usuario y la dirección de correo electrónico. A continuación, guardan las cadenas en la base de datos PwnedList antes de eliminar la información de acceso real. Este procedimiento significa que ningún hacker pueda romper la base de datos de PwnedList y tener acceso a una lista única de los cientos de miles de cuentas comprometidas que el equipo ha encontrado. Así que cada vez que escriba un nombre de usuario o dirección de correo electrónico en el motor de búsqueda PwnedList, el servidor ejecuta su solicitud a través del mismo algoritmo utilizado para cifrar el las cuentas comprometidas, compara la cadena generada contra las cuerdas en la base de datos, y le avisa si hay una coincidencia. Por supuesto, ya que la base de datos PwnedList es sólo una lista gigante de cadenas alfanuméricas sin datos relevantes, tales como contraseñas o nombres de dominio, el servicio sólo se le puede decir si un nombre en particular o un correo electrónico está en la lista. Al momento de la entrevista, PwnedList no ofrecía ninguna manera para que usted pueda conocer exactamente cómo su correo electrónico se ha visto comprometido o que el sitio fue hackeado. Sin embargo eso probablemente va a cambiar con la próxima versión. “Estamos trabajando duro para publicar más “metadatos” en nuestro sitio … incluyendo el nombre de la empresa del sitio / que aloja la cuenta, el número de cuentas que figuran en la fuga, la fecha en que encontró la fuga, y (si es posible) el nombre del grupo de hackers / que creemos que publicó los datos “, dice Puzic. Pero en última instancia, los datos adicionales, aunque útiles, no importan, lo que importa es que sitios como PwnedList pueden ayudarle a tomar un papel activo en verificar si sus datos privados se han visto comprometidos. Si no tienes suerte suficiente para encontrar su nombre de usuario o dirección de correo electrónico favorito en la lista, no se asuste! Es probable que sus datos no se hayan visto comprometidos aún, pero para estar seguro, usted debe asumir que usted es víctima de ataques y tomar algunas medidas de sentido común para recuperarse del ataque. Actualice todas sus cuentas con mejores contraseñas, ponga una alerta de fraude en su informe de crédito, y controle sus estados financieros por unos meses en busca de signos de deterioro.
