23 feb. 2019

La sana paranoia y... sigamos concientizando en seguridad

Hace muchos años en los eventos como los que organizaba Cristian para hablar sobre seguridad en ámbitos donde pocas veces se hacía, con mi amigo y en aquel entonces socio, Ezequiel, siempre usábamos una frase para cerrar nuestras charlas: debemos ser sanamente paranoicos.
Esta frase quizás sin sentido para los especialistas de la salud mental, para nosotros tenía (y tiene hoy día) un sentido muy específico. Los que trabajamos en seguridad nos volvemos desconfiados de prácticamente todo y, por ende, muchas veces se nos tilda de personas antisociales, evitamos compartir información personal, no prestamos nuestra notebook (ni teléfono ni Tablet) a ninguna persona, tenemos claves largas y complicadas con segundos factores habilitados, etc. etc.
No es raro que cuando ingresamos a un portal en compañía de otras personas que no son del rubro, se nos queden mirando atónitas por la cantidad de caracteres que introducimos a alta velocidad, darle enter, verificar en nuestro teléfono el token generado y cargarlo en dicho portal... La mayoría de esas personas solo abrirían su navegador, seleccionarían el sitio e ingresarían automáticamente porque han guardado su contraseña en el propio browser...

Por defecto, somos paranoicos. Sospechamos de todo y de todos. No creemos en controles absolutos ni en software máximo, no existe la seguridad 100%... Pero el resto de los mortales no puede ni quiere vivir como nosotros. Y esta bien que así sea, por cierto. Yo no quiero vivir como los cirujanos acostumbrados a ver personas en grave estado todos los días teniendo que tomar decisiones que impactan en sus vidas de forma directa, ni como los abogados que cada papel que van a firmar o redactar, lo analizan con el fin de buscar la famosa letra chica… Cada uno de nosotros ocupa una profesión por algo y no puede darse el lujo de intentar que todos la disfruten de la misma manera.

Ser sanamente paranoico significa, para mí, seguir disfrutando de la profesión que uno eligió, de la tecnología que a uno lo tentó, y también de la ingenuidad que uno posee en tantas cosas de la vida, pero con un mirada un poquito desconfiada. El famoso concepto de "estar atentos". Sigo creyendo que eso es lo que debemos comunicar los que trabajamos en seguridad al resto de las personas. Si sale una vulnerabilidad en Java (ya se que no pasa nunca XD), y las recomendaciones se basan en frases terminantes como: "dejemos de usar Java" no llegaremos a ningún lado, porque los usuarios necesitan Java para correr sus aplicaciones y no lo van a cambiar, porque no saben cómo o porque no tiene otras opciones.

Si sale un bug en Facetime y todos decimos: "no usen más Facetime", el usuario no se va a proteger, lo va a seguir usando porque en realidad nunca le indicamos cómo protegerse, solo le dimos una orden negativa. Lo mismo cuando sale un bug que afecta a cualquiera por mirar una foto en Android, no podemos decirle: "no uses más Android" porque se le acaban las opciones, difícilmente cambiará su teléfono...

Para lograr que los demás sean sanamente paranoicos, no podemos ponerlos entre la espada y la pared en cada decisión que deben tomar, ni tampoco podemos seguir siendo poco tolerantes con quien queremos que se proteja pero se equivoca… si queremos que las personas sean sanamente paranoicas, no podemos pretender que hagan lo mismo que haríamos nosotros en una situación implique el uso de tecnologías informáticas… ellos necesitan tener y conocer una protección mínima, aprender el valor de su información y ser cuidadosos con ella, comprender qué puede pasar si alguien compromete su seguridad, pero lo más importante, conocer qué debe hacer si algo de eso le pasa...

Sigamos trabajando en difundir y concientizar a las personas de todas las edades, de todos los rubros, porque de la misma manera que necesitamos que los médicos nos concienticen continuamente sobre cómo prevenir enfermedades, ellos necesitan de nosotros para que los ayudemos a cuidar su información (y la nuestra) … ya que como dijo A. Einstein: "Todos somos ignorantes, pero no todos ignoramos las mismas cosas".

Claudio Caracciolo
Team Leader of the CSA and the Bs. As. Research Office at ElevenPaths
@holesec

22 feb. 2019

WinRAR no pudo parchear una vieja vulnerabilidad porque código fuente ya no existe

WinRAR es uno de los programas para Windows más descargados de la historia, acumulando ya miles de millones de descargas. Sin embargo, el programa lleva casi 19 años teniendo una vulnerabilidad.

Han sido investigadores de Check Point los que han publicado los detalles técnicos de esta vulnerabilidad en WinRAR, que afecta a todas las versiones lanzadas en los últimos 14 años. El fallo se encuentra en una librería de terceros llamada UNACEV2.DLL. Esta librería permite descomprimir archivos que están comprimidos usando el formato ACE. La última versión compilada es de 2006 y la aplicación WinAce original permanece discontinuada desde 2007.

El problema reside en que WinRAR detecta el formato de los archivos basándose en su contenido, y no en la extensión, por lo que simplemente pueden cambiar la extensión .ACE a .RAR para que parezca un archivo normal de WinRAR. El fallo permite a un atacante ejecutar código arbitrario en un ordenador que intente descomprimir el archivo siempre que se usen versiones vulnerables del programa, en un fallo conocido como "Absolute Path Traversal".
Gracias a este fallo, el atacante puede elegir la ruta en la que quiere que se descomprima el archivo, independientemente de la que haya elegido el usuario. Los investigadores demuestran esta función descomprimiendo el archivo en el escritorio, pero en realidad se está creando un archivo malicioso en formato .EXE en Inicio, de tal manera que cuando el ordenador se encienda, el archivo se abrirá automáticamente.

La solución de WinRAR: eliminar la librería

La librería UNACEV2.DLL fue incluida en WinRAR en 2005, pero el equipo de WinRAR ha perdido el código fuente de ella, por lo que la solución por la que han optado es borrar directamente el archivo para arreglar el fallo. A partir de la versión 5.70.1 Beta 1, el archivo ya no está presente y la vulnerabilidad está solucionada. La consecuencia directa de esta "solución" es que WinRAR ya no es compatible con archivos en formato .ACE, aunque era un formato que ya prácticamente no se utilizaba.

Por ello, si eres usuario de WinRAR, os recomendamos que instalar la última versión del programa, ya que es probable que haya atacantes que ya estén al tanto de la vulnerabilidad y escondan archivos maliciosos dentro de archivos en formato .RAR.También existen una gran cantidad de compresores alternativos muy superiores en prestaciones y características, como PeaZip o Bandizip, dos grandes alternativas gratuitas (y la primera, además, OpenSource) que nos permitirán trabajar con ficheros RAR y RAR5 sin ningún problema.

Este tipo de vulnerabilidad se paga muy bien por empresas como Zerodium. En el caso de no haber decidido publicarla, Check Point podría haber recibido hasta 100.000 dólares por esta vulnerabilidad de día cero.

Fuente: Check Point

21 feb. 2019

Ante ataques recientes al DNS a nivel global, en NIC sugieren modificar las claves de acceso

Desde fines del año 2018, se han detectado ataques a la infraestructura global del Sistema de Nombres de Dominio (DNS) mediante la modificación de registros A, MX y NS y la generación de certificados digitales automatizados válidos para los dominios atacados. El resultado es la utilización de sitios web apócrifos con certificado SSL válido.

Los ataques que datan de noviembre del año pasado, se han iniciado en base a credenciales válidas de acceso para modificar registros en el DNS; obtenidas, probablemente, a través de mecanismos de phishing direccionados a un objetivo o blanco específico.

En este contexto, y a modo preventivo, en Argentina se sugiere modificar las claves de acceso para gestión de DNS, tanto de las plataformas de hosting como en Trámites a Distancia para la delegación de dominios. En este último caso, es importante tener en cuenta que la Clave Fiscal debe modificarse desde el sitio de AFIP. También se recomienda utilizar claves largas y seguras y si la plataforma en cuestión lo soporta, habilitar la autenticación de doble factor.

Estos ataques fueron inicialmente informados por grupos de investigación en seguridad de redes globales. Para más información, sugerimos consultar los siguientes informes:
Hoy en día se entiende que el servicio DNS es uno de los servicios de TI más críticos para cualquier empresa de cualquier sector. Muchos informes de expertos, analistas e institutos de investigación internacionalmente reconocidos han demostrado la máxima importancia del servicio DNS para garantizar la continuidad del negocio que, casi indiscutiblemente, es el objetivo más importante de cualquier equipo de redes y seguridad. Por tanto, no cabe duda de que los servicios DNS deben formar parte del plan de seguridad global de la empresa.

La pregunta importante es "¿cuál es su estrategia para la seguridad DNS?" Las soluciones actuales como los cortafuegos, sistemas de prevención de intrusiones o sistemas anti DDoS genéricos han demostrado claramente su ineficacia para proteger el servicio DNS crítico para la misión (encuesta de seguridad IDC 2014). Empezar por conocer claramente el panorama de las amenazas es clave para la selección del enfoque de seguridad apropiado.

Aprende más acerca de:
  • Ataques volumétricos
  • Ataques sigilosos/de goteo lento
  • Aprovechamientos
Se puede descargar el White Paper  A New Era Of Network Attacks - 2018 Global DNS Threat Report.

Fuente: NIC.ar | EfficientIP

Vulnerabilidad de DoS en IIS (Actualiza!)

El Centro de respuesta de seguridad de Microsoft publicó ayer un aviso de seguridad sobre un problema de denegación de servicio (DoS) que afecta a IIS (Internet Information Services).

Gal Goldshtein de F5 ha descubierto un problema en cómo el servidor IIS de Microsoft maneja las peticiones HTTP/2 que puede llevar a una denegación de servicio (CPU al 100% de forma que caducan las conexiones). El problema se debe a cómo maneja el número de frames el servidor. Un atacante podría enviar un valor de SETTINGS muy alto y hacer que el consumo de recursos del servidor sea tan elevado que se vuelva inestable.

Los servidores IIS incluidos con Windows 10 y Windows Server 2016 se ven afectados por una vulnerabilidad al procesar las solicitudes HTTP/2. Se ha publicado una actualización que permite establecer el límite de SETTINGS HTTP/2 que manejables por el servidor, que hasta ahora no eran predefinidos por Microsoft.

Microsoft dice que hay circunstancias en las que los servidores IIS que procesan solicitudes HTTP/2 pueden hacer que el uso de la CPU aumente al 100%, bloqueando o ralentizando de manera efectiva todo el sistema. Fuera de la advertencia de seguridad ADV190005 de Microsoft, no hay otros detalles públicos disponibles sobre esta vulnerabilidad.

HTTP/2 permite a los clientes especificar cualquier número de frames. En algunas situaciones, la configuración excesiva puede hacer que los servicios se vuelvan inestables y se produzca un aumento temporal del uso de la CPU hasta que se alcance el tiempo de espera de la conexión y se cierre la conexión

El problema se resolvió agregando la capacidad de definir umbrales en la cantidad de parámetros de  SETTINGS, incluidos en una solicitud HTTP/2 que un servidor IIS podría manejar.

Las actualizaciones acumulativas KB4487006, KB4487011, KB4487021 y KB4487029 se lanzaron hace dos días para solucionar el error de DoS en IIS, por lo que se recomienda actualizar a la brevedad.

Fuente: Microsoft

20 feb. 2019

Injerencias rusas en organizaciones políticas europeas

Un nuevo informe de Microsoft ha revelado que un grupo de atacantes rusos ha estado ejecutando ataques informáticos contra organizaciones políticas de Europa antes de las próximas elecciones del Parlamento Europeo que se llevarán a cabo el próximo mes de mayo.

Según Tom Burt, vicepresidente corporativo de clientes, seguridad y confianza de la compañía, los ataques no están limitados a campañas arbitrarias, sino que han perjudicado a grupos políticos y organizaciones sin fines de lucro que tienen vínculos con la vida democrática, electoral y que incluso tienen relación con funcionarios gubernamentales.

Entre las organizaciones elegidas por los atacantes destacan el Consejo Alemán de Relaciones Exteriores, y las sedes europeas de The Aspen Institute y German Marshall Fund (GMF). En total, los delincuentes apuntaron a 104 de organizaciones ubicadas en Francia, Bélgica, Alemania, Rumania, Polonia y Serbia. En este sentido, Burt agregó:
En concordancia con las campañas contra instituciones similares basadas en los EE.UU., Los hackers en la mayoría de los casos crean direcciones URL maliciosas y direcciones de correo electrónico falsificadas que parecen legítimas. Estas campañas de pesca submarina tienen como objetivo obtener acceso a las credenciales de los empleados y propagar malware.
Microsoft asegura que los ataques detectados recientemente por sus investigadores sugieren un esfuerzo persistente por obtener información de organizaciones democráticas. Asimismo, la compañía afirma que los atacantes confirman las advertencias de los políticos europeos sobre los niveles de amenaza que se esperan que recaigan sobre la Unión Europea este año.

Los investigadores de Redmond, además de advertir a los objetivos sobre los ataques, les ayudaron a blindar sus sistemas para protegerse de amenazas futuras. En este sentido, el servicio de seguridad informática AccountGuard de Microsoft ha sido extendido a todos los candidatos políticos a las elecciones de la Unión Europea, así como a organizaciones no gubernamentales de más de 12 países de la región.

Fuente: Microsoft

Nuevas funciones en Chrome: detector de modo incógnito y XSS

Google Chrome no permitirá que las páginas detecten si el usuario navega en modo incógnito o no y bloqueará este tipo de sitios.Además en las próximas versiones se trabajará en una nueva características para bloquear DOM XSS.

Chrome bloqueará las páginas que detecten que estamos en modo de incógnito

El modo incógnito o privado permite evitar el rastreo, que nuestros datos queden registrados, etc.Esto también puede evitar ser rastreados por anunciantes. Seguro que en alguna ocasión hemos buscado  algún producto para comprar o mirado un vuelo y a partir de ese momento vemos publicidad relacionada por todas partes. Si entramos en modo incógnito, al menos en teoría, no queda registro alguno.

La cuestión es que muchos sitios utilizan métodos para detectar si un usuario navega en modo de incógnito o no. Todo a través de un truco, por decirlo de alguna manera, al utilizar una API que detecta si el sistema de archivos está activo o no y, por tanto, si el modo incógnito está activado.

Lo que busca ahora Google Chrome es bloquear los sitios que recurran a este método para detectar si los usuarios navegan o no en modo de incógnito. Esto lo va a lograr al crear un sistema de archivos virtual, en vez del sistema de archivos tradicional.

Google Chrome bloqueará los sitios que puedan detectar si navegamos o no en modo de incógnito. Pero esto llegará de forma progresiva. Está previsto que esta nueva función llegue a Google Chrome 74. Sin embargo vendrá como opción. Los usuarios podrán configurarla o no según quieran.

Habrá que esperar un poco más, previsiblemente hasta Google Chrome 76, para que esta nueva característica venga activada de forma predeterminada. En este caso estará disponible siempre que iniciemos el navegador.

Google anuncia Trusted Types para evitar DOM XSS

Google anuncia Trusted Types, una nueva API que luchará para que los problemas de XSS en el DOM no tengan efecto en Chrome. Los problemas de XSS en el DOM implican unas 60 funciones o propiedades susceptibles de interpretar contenido externo y sufrir de XSS en el DOM. Los desarrolladores deben prevenir estos problemas antes de llamarlas pero no todos lo consiguen.

Los administradores podrán añadir la cabecera: Content-Security-Policy: trusted-types *
Y esto hará que cualquier intento de inyección de strings en esas funciones provoque un error y el XSS no sea posible. El programador deberá crear tipos Trusted Types para interactuar de forma segura con las funciones potencialmente peligrosas.

Fuente: Google | RedesZone

Vulnerabilidades de Path Traversal y Local File Inclusion (LFI) en WordPress 5.x

Descubierto en octubre, WordPress ha solucionado ahora un grave problema de ejecución de código que llevaba seis años. El problema es una combinación de LFI y Path Traversal.

La empresa RIPS envió al equipo de seguridad de WordPress detalles sobre esta vulnerabilidad en el núcleo de WordPress que puede dar a los atacantes acceso completo a cualquier sitio de WordPress, que actualmente no haya solucionado la vulnerabilidad.
Tanto la vulnerabilidad de Path Traversal como la Local File Inclusion (LFI) fue detectada automáticamente por la herramienta RIPS en tan solo 3 minutos de escaneo y con solo hacer clic en un botón. A primera vista los errores parecían no explotables pero luego resultó que la explotación de las vulnerabilidades es mucho más compleja pero posible. Un atacante que obtiene acceso a una cuenta con al menos privilegios de autor puede ejecutar código PHP arbitrario en el servidor subyacente, lo que lleva a la toma de control remota completa.

Cuando se sube una imagen, la meta información se almacena en entradas de Post Meta en la base de datos. En versiones 4.9.9 y 5.0.1, se podían asignar valores arbitrarios a estas entradas. A la hora de modificar la imagen con la función wp_crop_image(), Wordpress iría a buscar si el archivo existen en  wp-content/uploads/evil.jpg, y si no, a URL: hxxps://targetserver.com/wp-content/uploads/evil.jpg. Si se consigue modificar los datos para que _wp_attached_file apunte a evil.jpg?shell.php, se podría ejecutar PHP arbitrario en el sistema.

La vulnerabilidad LFI publicada por RIPS no era explotable anteriormente por las revisiones de seguridad de las versiones de WordPress 4.9.9 y 5.0.1. Sin embargo, el Path Traversal actual todavía es posible de explotar y aún no ha sido parcheada. Cualquier sitio de WordPress con un complemento instalado que maneje incorrectamente las entradas Post Meta puede explotarla. Millones de complementos con instalaciones activas cometen este error. Teniendo en cuenta que los complementos podrían reintroducir el problema, la cantidad de instalaciones afectadas sigue siendo de millones.

El fallo fue introducido hace 6 años y reportado por los descubridores en octubre de 2018. Se tuvo que esperar a que saliera el 5.0, el 5.0.1 con una solución parcial (solo el LFI). Cansados de que no se solucionara por completo ni en la 5.0.2 ni en la 5.0.3 han hecho público el problema puesto que ahora la explotación es más complicada.

Fuente: RIPS

19 feb. 2019

"Las Blockchain ahora son hackeables" [MIT]

La revista MIT Technology Review ha publicado un artículo hoy, 19 de febrero, en el que argumenta que la tecnología blockchain, promocionada por su seguridad, todavía es vulnerable. La revista es propiedad del Instituto de Tecnología de Massachusetts (MIT) de Estados Unidos.

En el reciente artículo, el MIT Technology Review destacó que la tecnología de cadena de bloques representa un sistema económico complejo que depende de un comportamiento humano impredecible.

Como tal, la Review señaló múltiples brechas de seguridad que han surgido cada vez más en las plataformas de criptomonedas y contratos inteligentes desde el inicio de la criptomoneda, citando una serie de incidentes que incluyen la reciente vulnerabilidad de doble gasto que se encontró en un importante exchange de criptomonedas de EE.UU., Coinbase, el 7 de enero.

La Review ha listado además una serie de condiciones que hacen que la tecnología de la cadena de bloques sea vulnerable, incluyendo los errores no intencionales en el sistema y el factor humano. La revista escribió:
En resumen, si bien la tecnología blockchain se ha promocionado durante mucho tiempo por su seguridad, en ciertas condiciones puede ser bastante vulnerable. A veces se puede culpar a la ejecución de mala calidad, o errores de software involuntarios. Otras veces es más un área gris —el resultado complicado de las interacciones entre el código, la economía de la cadena de bloques y la codicia humana.
La Review también ha citado numerosas recompensas —los programas proporcionados por las compañías de blockchain y de criptomonedas que permiten que los hackers de sombreros blancos obtengan recompensas al reportar un determinado error de blockchain en una plataforma determinada.

De acuerdo con TheNextWeb, los hackers de sombrero blanco ganaron USD 878.000 en total al reportar bugs de criptos en el 2018.

Recientemente, Coinbase entregó una recompensa de USD 30.000 por informar un error crítico en su sistema, esta es la criptorrecompensa más grande jamás otorgada por el exchange en HackerOne.

Anteriormente, el MIT Technology Review había argumentado que la tecnología de blockchain finalmente se volvería común en el 2019, considerando la tecnología como una decepción del 2018.

Fuente: CoinTelegraph

18 feb. 2019

Otras 127 millones de contraseñas filtradas en 8 hackeos

En las últimas semanas han sido varios los lotes de contraseñas robadas que se han puesto ‘en circulación’ en la deep web. Hemos visto Collection #1 batiendo el récord histórico y después llegaron Collection #2-#5. Este último, más preocupante aún porque empezó a circular fuera de la deep web, en foros a los que cualquier usuario tiene acceso. Esta mima semana, 617 millones de claves robadas también se han puesto a la venta, y ahora tenemos, de nuevo 127 millones de contraseñas robadas.
data breach websites
Este lote de contraseñas robadas, en realidad, está relacionado con el que se lanzó hace apenas dos días por 20.000 dólares en la deep web. El que comentábamos antes era el primer lote, con nada menos que 617 millones de contraseñas extraídas de hackeos de los últimos años a 16 páginas web. Y el que nos ocupa hoy es un segundo lote con otras 8 webs hackeadas, y nada menos que 127 millones de cuentas extraídas de estos portales. En el anterior lote venían claves de Fotolog, 500px, Dubsmash o MyFitnessPal entre otras y, efectivamente, estos 127 millones de claves corresponden a otras páginas web diferentes.

Un nuevo paquete de contraseñas a la venta: son 127 millones de claves robadas y corresponden a 8 webs hackeadas anteriormente

De nuevo, no se trata de un nuevo hackeo a ninguna página web o servicio online; sencillamente, se trata de una recopilación de contraseñas que ya fueron robadas anteriormente. Es lo que está extendiéndose en este arranque del año 2019, crear bases de datos realmente extensas, a modo de recopilación de contraseñas de usuarios de servicios que ya fueron hackeados meses o incluso años antes. Esta vez, las páginas web de las que se han tomado las contraseñas son Coinmama, Petflow y vBulletin (algunos foros), Roll20.net, Stronghold Kingdoms, Ixigo, YouKnow y Houzz.

El detalle "positivo", si es que acaso lo hay en este tipo de filtraciones masivas de contraseñas, está en que la distribución se está llevando a cabo a través de la deep web, y el precio es alto. Hay que pagar el Bitcoin; es decir, que no cualquiera puede acceder a comprar la base de datos. En el caso de los cuatro paquetes de Collection, sin embargo, fue a través de foros convencionales donde se ‘repartieron’ los varios millones de contraseñas de usuarios de todo el mundo.

El listado publicado en Dream Market es el siguiente:
  • Dubsmash — 162 millones
  • MyFitnessPal — 151 millones
  • MyHeritage — 92 millones
  • ShareThis — 41 millones
  • HauteLook — 28 millones
  • Animoto — 25 millones
  • EyeEm — 22 millones
  • 8fit — 20 millones
  • Whitepages — 18 millones
  • Fotolog — 16 millones
  • 500px — 15 millones
  • Armor Games — 11 millones
  • BookMate — 8 millones
  • CoffeeMeetsBagel — 6 millones
  • Artsy — 1 millones
  • DataCamp — 700.000 cuentas
  • Pizap — 60 millones
  • Jobandtalent — 11 millones
  • Gfycat — 8 millones
  • Storybird — 4 millones
  • Legendas.tv — 3.8 millones
  • Onebip — 2.6 millones
  • Classpass — 1.5 millones
  • Streeteasy — 990,000
  • Btcturk — 516,000
Fuente: THN

Coinmama confirma robo de datos de 450.000 cuentas

La casa de cambio de criptomonedas israelí Coinmama informó que los correos electrónicos y contraseñas de 450.000 usuarios de su plataforma fueron comprometidos y puestos a la venta por delincuentes en la Darknet.

La startup dio a conocer la novedad este viernes 15 de febrero, luego que reportes de prensa difundieran el hecho el día anterior y alertaran sobre lo sucedido.

En el comunicado, Coinmama confirmó que hubo una violación de sus sistemas de seguridad y que los datos fueron difundidos por piratas informáticos. En relación con lo ocurrido, la casa de cambio indicó:
Nuestro equipo de seguridad está investigando y, según la información disponible, creemos que la intrusión está limitada a, aproximadamente, 450.000 direcciones de correo electrónico y contraseñas de acceso de los usuarios que se registraron hasta el 5 de agosto de 2017.
Luego de realizar una verificación, la compañía indicó que no hay evidencia que sugiera que los autores de la violación de seguridad hayan utilizado los datos. La antigüedad de los registros robados también llevó al equipo a afirmar que no tienen "motivos para sospechar que ningún otro sistema de Coinmama está comprometido". La casa de cambio puntualizó que en los registros no se hallaba información de las tarjetas de crédito de los usuarios.
Datos a la venta

Un reporte de ZDNet indicó que el responsable está vendiendo los registros por 0,3497 BTC, lo que equivale a 1.274 dólares, según la cotización actual de bitcoin. Según este medio, la comercialización ilegal de los datos ocurre en Dream Market, un sitio en el que los estafadores ofrecen "productos ilegales como datos de usuarios, drogas, armas, malware y otros". El usuario que ofrece los datos fue identificado bajo el pseudónimo Gnosticplayers.

En una semana, el pirata o los piratas involucrados en el caso de Coinmama, han robado 747 millones de registros relacionados con 24 empresas. A principio de semana, los hackers ofrecieron un primer lote con 620 millones de datos de usuarios de 16 empresas como Dubsmash, MyFitnessPal, MyHeritage, ShareThis, HauteLook, Animoto, EyeEm, 8fit y Whitepages, entre otras.

En el segundo lote, además de Coinmama, entre las empresas que fueron víctimas de ataques se incluye a Ge.tt, Ixigo, Roll20.net, Houzz, Younow, StrongHoldKingdoms y Petflow. Esto supuso el compromiso de otros 127 millones de registros de usuarios.

Ariel Ainhoren, de la firma de investigación de seguridad israelí IntSights, informó a Tech Crunch que el pirata pudo sacar provecho de la misma falla para obtener la información de las plataformas afectadas.

"Seis de las 16 bases de datos ejecutaban el mismo software de base de datos PostgreSQL back-end", explicó Ainhoren. El investigador también añadió que al explotar con éxito el error, el pirata informático pudo volcar la base de datos en un archivo y descargarla.

La casa de cambio indicó que se encuentra tomando medidas de seguridad para minimizar los efectos del ataque y evitar amenazas futuras.

No obstante, llama la atención que el equipo de Coinmama no se percatara por sí mismo de lo ocurrido sino a través de terceros. Esto podría interpretarse como una falla más profunda en sus protocolos de seguridad.

Los reportes de hackeos a casas de cambio no son ajenos al ecosistema de los criptoactivos. Solo en el 2018 ocurrieron múltiples violaciones de seguridad informática, que se enfocaron más en el robo de criptomonedas que de datos. Este fue el caso para CoinCheck, BitGrail, CoinSecure, CoinRail, Bithumb, Zaif, entre otras.

De hecho, un estudio elaborado por la firma Icorating indica que más de 100 criptobolsas son inseguras. Para llegar a este resultado, la firma analizó un total de 135 casas de cambio. De esta manera, solo un 16% de las plataformas de intercambio posee niveles óptimos de seguridad para proteger los fondos de sus usuarios.

Fuente: Criptonoticias