La Agencia Nacional del Crimen del Reino Unido (NCA) ha aportado más de 585 millones de contraseñas al servicio Have I Been Pwned que nos permite comprobar si nuestras contraseñas se han filtrado en Internet.
La colección de contraseñas de la NCA procede de la Unidad Nacional de Ciberdelincuencia (NCCU) de la agencia y han sido recopiladas durante las investigaciones de incidentes de ciberseguridad.
La mayor parte de ellas provienen de un servicio de almacenamiento en la nube de una empresa sin identificar de Reino Unido que se estaba usando para depositar credenciales comprometidas. Lo que se estaba haciendo era realizar una recopilación de datos comprometidos en diversas violaciones de datos, para usarlas en siguientes fraudes y ciberdelitos.
Troy Hunt, creador del servicio Have I Been Pwned (HIBP), una vez ha importado los datos y después de analizarlos, ha encontrado una muestra de 225.665.425 contraseñas completamente nuevas. Tal y como reconoce en un comunicado en el blog de la herramienta:
"Ahora, ten en cuenta que antes del anuncio de hoy, ya había 613M de ellas en el servicio Pwned Passwords (y muchos millones más en mi copia de trabajo local a la espera de la próxima versión), por lo que el archivo de la NCA representó un aumento significativo en el tamaño" - Troy Hunt
Entre las nuevas contraseñas que se han encontrado aparecen algunas tales como:
- flamingo228
- Alexei2005
- 91177700
- 123Tests
- aganesq
El proyecto Pwned Passwords de Have I Been Pwned permite a las fuerzas del orden de diferentes países añadir las contraseñas encontradas durante las investigaciones al servicio. De esta forma, a través de la API de Pwned Passwords se puede proteger a los usuarios contra los ataques de suplantación de identidad.
Con la reciente aportación de la NCA, el número de credenciales en el servicio Pwned Passwords ha aumentado un 38%, hasta superar los 847 millones disponibles en el servicio.