Pwnedlist es una herramienta que le permite chequear, a una persona comun y corriente, si sus cuentas han sido comprometidas. Solo debes entrar la direccion de correo asociada a cualquier cuenta de correo, para ver si estas en la lista de los pwneados. No guardan los datos que ingresas (solo debes ingresar la direccion de correo, nada mas), no los reutilizan ni los comparten con terceros. Es un startup formado por un grupo de investigadores en seguridad informatica provenientes de varias industrias.
En su website explican quela idea nacio a partir de un pequeno proyecto de investigacion con una premisa mas bien simple: descubrir cuantas cuantas comprometidas podrian ser "cosechadas" en solo un par de horas. Sus resultados fueron asombrosos, dado que en menos de dos horas ya contaban con casi 30.000 cuentas cuyas contrasenas habian sido publicadas! Lo mas sorprendente era la calidad de los datos que habian obtenido: cuentas de correo, de sitios de social media, cuentas de mercantes e incluso de instituciones financieras. Fue ahi cuando nacio PwnedList.
La idea es que el publico, con un simple click, pueda verificar si sus cuentas han sido comprometidas como parte de una filtracion de datos corporativa, un codigo malicioso dando vueltas en su computador, o cualquier otro tipo de compromiso de seguridad. Su proposito es crear conciencia acerca de la seguridad, ayudar a los usuarios a ser mas proactivos en el manejo de su seguridad personal en el ciberespacio y a la vez, monitorear sus cuentas frente a potenciales compromisos.
Los datos de PwnedList vienen, principalmente de dos fuentes de datos. Una es la recoleccion manual de dumps, y la otra es su sistema de harvesting automatizado que recorre ciertos sitios en la internet, que identifica posibles dumps de contrasenas y los importa a su base de datos, sin intervencion humana. De hecho, cerca del 40% de sus dats provienen de su sistema automatizado.
Actualizan su base de datos por lo menos una vez cada 24 horas, y, al momento de este post, su base de datos contenia 23,801,415 entradas!
Ofrecen servicios para individuos y servicios corporativos. Los servicios para individuos son absolutamente gratuitos y cosisten en un motor de monitoreo, un sistema de alertas (donde puedes monitorear 1 cuenta de correo y upgradear hasta agregar 10 de tus cuentas) y un servicio de reportes.
Los servicios corporativos son bastante utiles, considerando que una de las mayores preocupaciones debiera ser el robo de credenciales de empleados en las empresas.
Para mi, lo mas sorprendente es que tan solo desde julio de 2011 su base de datos es de mas de 28 millones de credenciales robadas!
Me parece que es un servicio que las empresas debieran evaluar. Invertir en seguridad es imprescindible!
