43.570.999: ese es el número exacto de registros de usuario que se encuentra en la copia de la base de datos de Last.fm con la que cuenta el sitio LeakedSource. Se trata de datos que fueron robados en 2012, algo que admitió Last.fm en su momento, recomendando a sus usuarios cambiar la contraseña que utilizasen.
Hace cuatro años, cuando se informó de la brecha de seguridad, se cifró el número de usuarios afectados en alrededor de millón y medio, un número que estaba muy lejos de la realidad, tal y como se ha podido comprobar ahora. Ya en su momento, Last.fm tardó tres meses en detectar el robo de información, el cual se produjo en marzo de 2012 según una información publicada en aquel entonces por GigaOm, que también señaló que el servicio tenía sospechas del mismo desde mayo. La fecha del robo se ha demostrado que es correcta ya que, de acuerdo a los datos de fecha y hora de la base de datos de que dispone LeakedSource, este realizó el 22 de marzo de ese año.
LeakedSource, a quienes ya citamos al hablar del robo de cuentas de Dota 2, ha verificado junto a Softpedia la validez de muchos de los datos filtrados y, aunque no han verificado todos, sí los suficientes como para validar la veracidad de la información.
El contenido de cada registro de esta base de datos contiene el nombre de usuario, su cuenta de correo, la contraseña, la fecha en que se abrió la cuenta y algunos datos más de carácter interno. Como en otros casos, es posible usar LeakedSource para consultar si nuestros datos figuran entre estos registros, aunque dada la magnitud del robo, es mejor cambiar la contraseña directamente.
Los datos estaban almacenados de una forma insegura
Según señalan desde LeakedSource, la base de datos contaba con medidas de seguridad muy débiles ya que usaba el algoritmo MD5, el cual se consideraba ya desactualizado por entonces, y además lo hacía sin sal. Esto ya fue reconocido en Twitter por el desarrollador que escribió el código de seguridad de Last.fm en 2003, Russ Garrett, tras y como también se reflejó en el artículo de GigaOm mencionado antes.
El algoritmo usado era tan inseguro que, tal y como cuentan en LeakedSource, les tomó tan solo 2 horas convertir el 96% de las contraseñas en información accesible. Como han hecho en otras ocasiones, han aprovechado para elaborar un ranking de las contraseñas más utilizadas y, en los primeros puestos, encontramos a varias «sospechosas habituales»: 123456, password, lastfm, 123456789 y qwerty son las que ocupan los cinco primeros puestos de la lista.
También extrajeron cuales fueron los dominios de cuentas de correo más usados. En este caso, los cinco primeros son: hotmail.com, gmail.com, yahoo.com, aol.com y hotmail.co.uk.
Y algo más, que también resulta una información curiosa: gracias a las fechas de registro que estaban disponibles, es posible hacerse una idea del crecimiento del sitio. Por citar solo los primeros cinco años, en 2002, en Last.fm se registraron 3.455 nuevos usuarios; en 2003, 33.234; en 2004, 232.584; en 2005, 883.160; y en 2006, 2.121.072. El resto de datos están disponibles en el post publicado en el blog de LeakedSource.
