A dónde van los datos: 12 ataques, hacks y fugas

Facebook y Cambridge Analytica, el p√°nico Spectre y Meltdown, las noticias falsas son solo la punta del iceberg del incidente de 2018. El a√Īo pasado fue caluroso para los profesionales de seguridad de la informaci√≥n y para muchos usuarios que tuvieron que apresurar las contrase√Īas r√°pidamente. En el Distrito Binario compilamos una selecci√≥n de 12 hacks reveladores, hacks y filtraciones de datos que ocurrieron en 2018.



En la lista hay historias sobre la vulnerabilidad que trajo a Google+, Alexa demasiado habladora, auriculares traicioneros, un administrador brasile√Īo descuidado, una sinergia de errores en Facebook y un DDoS sin precedentes.

Cuatro ataques de hackers


Solo espacio, o cómo perder 13 millones de dólares


Que paso En agosto de 2018, los piratas informáticos realizaron más de 15,000 transacciones ilegales con cuentas del Indian Cosmos Bank a través de cajeros automáticos en siete horas, y al día siguiente varias transferencias grandes a través del sistema SWIFT.

Cual es el motivo. En la primera fase de la operación, se utilizaron muchas tarjetas bancarias clonadas, creadas debido a una vulnerabilidad desconocida en los sistemas de uno de los emisores. Con su ayuda, los hackers cómplices estaban retirando efectivo de los cajeros automáticos. En la segunda fase, probablemente, se utilizó una nueva versión del malware DYEPACK, que le permite omitir la autorización de transferencias en redes bancarias y ocultar informes sobre su implementación.

Los detalles no fueron revelados para los fines de la investigación, pero el ataque está asociado con el grupo de hackers norcoreanos APT38, que se especializa en piratear SWIFT.

¬ŅCu√°les son las consecuencias? Las p√©rdidas del Cosmos Bank ascendieron a unos 13 millones de d√≥lares, dos de ellos en la cuenta en uno de los bancos de Hong Kong, el resto, en efectivo en manos de "mulas de dinero". La carrera armamentista entre SWIFT y los hackers contin√ļa, y en 2019 es probable que recibamos nuevos mensajes sobre ataques a bancos.

Facebook mala suerte


Que paso El esc√°ndalo en torno a las elecciones estadounidenses a√ļn no hab√≠a disminuido, ya que en septiembre de 2018 se supo que los piratas inform√°ticos hab√≠an logrado acceder a los datos de millones de usuarios de Facebook.

Cual es el motivo. El pirateo no habría sido posible si no hubiera sido por la combinación de errores en el descargador de video, que utiliza la tecnología Single Sign-On y la función "Ver cómo". Con su ayuda, los hackers recolectaron tokens masivamente que genera una aplicación móvil, de modo que al cargar páginas web con módulos de redes sociales, no es necesario iniciar sesión nuevamente.

¬ŅCu√°les son las consecuencias? Los hackers han recibido informaci√≥n sobre 30 millones de cuentas. Se filtraron n√ļmeros de tel√©fono y direcciones de correo electr√≥nico, los datos especificados en el perfil, datos sobre los tipos de dispositivos desde los que el usuario ingresa a la red social, los √ļltimos 10 lugares marcados y 15 consultas de b√ļsqueda.

Los tokens podrían usarse para acceder a cualquier recurso de red donde se aplique la autorización a través de Facebook. El FBI no reveló los detalles de la investigación, pero a juzgar por la información disponible, los piratas informáticos no lograron realizar sus planes. Después de que se descubrió la intrusión, la vulnerabilidad se cerró y el equipo de Facebook eliminó los tokens de autorización para los usuarios afectados (y otros 60 millones como medida de precaución).

Gran fraude


Que paso Se descubrió uno de los esquemas de fraude más grandes y complejos con publicidad en línea, que incluía una red de 10,000 dominios falsos y una botnet que controlaba más de un millón de direcciones IP. En su apogeo, los bots generaron más de 3 mil millones de impresiones de anuncios al día.

Cual es el motivo. Para crear la botnet, los piratas informáticos utilizaron los troyanos Miuref y Boaxxe, ataques dirigidos a BGP, el protocolo de la puerta de enlace de límites, así como aplicaciones móviles con marcadores incrustados. Desarrollaron varios vectores de ataques en redes publicitarias y los cambiaron cuando fueron descubiertos por expertos de Google. Además, los bots imitaron con éxito el comportamiento humano, simulando movimientos del mouse y clics aleatorios.

¬ŅCu√°les son las consecuencias? Se han encontrado piratas inform√°ticos, se les imputa formalmente , pero las p√©rdidas financieras de la industria publicitaria a√ļn no se han evaluado.

Google alienta la atenci√≥n a las vulnerabilidades potenciales de las redes publicitarias por abuso y a acelerar la creaci√≥n y adopci√≥n de est√°ndares de la industria como ads.txt. La compa√Ī√≠a elimin√≥ de Google Play las aplicaciones que participaban en este esquema que usaban mecanismos de inyecci√≥n de clic y / o de inundaci√≥n de clic, incluido uno de los teclados de terceros m√°s populares: el teclado Kika con 200,000 instalaciones.

Reddit hackeado


Que paso En junio de 2018, los piratas informáticos comprometieron las cuentas de los empleados del sitio y obtuvieron acceso a varios sistemas sin nombre, códigos fuente de Reddit, documentación, parte de las direcciones de correo electrónico de los usuarios y copias de seguridad antiguas.

Cual es el motivo. Los administradores utilizaron un sistema de autenticaci√≥n de dos factores a trav√©s de SMS para autorizar. El ataque se llev√≥ a cabo interceptando un c√≥digo de confirmaci√≥n. Los hackers podr√≠an duplicar una SIM, enga√Īar a los empleados de un operador de telecomunicaciones y volver a emitir tarjetas o atacar un protocolo SS7 obsoleto.

¬ŅCu√°les son las consecuencias? El acceso al c√≥digo fuente del sitio puede implicar nuevos ataques. Reddit anunci√≥ la revisi√≥n de las reglas internas de seguridad de la informaci√≥n y la transici√≥n a tokens 2FA, que regularmente generan un nuevo c√≥digo de confirmaci√≥n. Los usuarios afectados recibieron notificaciones, pero nuevamente nos convencimos de la imperfecci√≥n de la autenticaci√≥n por SMS .

Tres fakapa molestos


Apache brasile√Īo


Que paso Los n√ļmeros de identificaci√≥n (el an√°logo TIN) de 120 millones de contribuyentes brasile√Īos, alrededor del 57% de la poblaci√≥n del pa√≠s, as√≠ como informaci√≥n personal: direcciones, n√ļmeros de tel√©fono, datos sobre pr√©stamos, etc., estaban disponibles gratuitamente.

Cual es el motivo. Servidor HTTP Apache configurado incorrectamente, cuyo administrador cambió el nombre del index.html estándar a index.html_bkp. El culpable del incidente sigue siendo desconocido. Probablemente simplemente no se dio cuenta de que activó la lista de directorios para todos los archivos en el directorio.

¬ŅCu√°les son las consecuencias? Los n√ļmeros de identificaci√≥n fiscal de Brasil son necesarios para abrir cuentas bancarias, obtener pr√©stamos y registrar entidades legales. Un poco de ingenier√≠a social, y esos datos se convierten en dinero f√°cil. Es probable que la base est√© disponible pronto en la red oscura.

Certificaciones Sennheiser


Que paso Los desarrolladores de Sennheiser HeadSetup y HeadSetup Pro, software para hacer llamadas a trav√©s de la red, pisaron el mismo rastrillo que Dell y Lenovo hace varios a√Īos. Utilizaron certificados ra√≠z inseguros.

Cual es el motivo. Junto con HeadSetup, se instalaron un par de certificados raíz en la computadora. Las claves privadas se guardaron en el archivo SennComCCKey.pem, desde donde son fáciles de extraer . Por lo tanto, los atacantes podrían usarlos para falsificar certificados, sitios legítimos, etc.

¬ŅCu√°les son las consecuencias? Sennheiser ha lanzado actualizaciones a sus programas , pero todos los sistemas en los que se instalaron las versiones 7.3, 7.4 y 8.0 de HeadSetup en el pasado siguen siendo vulnerables a ataques como el hombre en el medio. Los programas se pueden actualizar o eliminar, pero deshacerse de los certificados en s√≠ mismos, v√°lidos hasta 2027 y 2037, no es tan simple. Permanecen en el sistema operativo Trust Store y requieren una extracci√≥n manual.

Alexa te contar√° todo sobre ti


Que paso Amazon, en respuesta a una solicitud bajo el GDPR, envió 1.700 grabaciones inteligentes a la persona equivocada. Después de escucharlos, fue posible identificar al propietario y su hogar, averiguar la dirección y muchos detalles, como las preferencias musicales.

Cual es el motivo. Un representante de la compa√Ī√≠a en una conversaci√≥n con reporteros de Business Insider describe esto como un caso aislado y se refiere al factor humano.

Pero situaciones similares no son infrecuentes. Por lo tanto, en el marco de la "Ley de libertad de difusi√≥n de informaci√≥n" vigente en los EE. UU., Que est√° dise√Īada para aumentar la transparencia del trabajo de los funcionarios, cualquier persona puede solicitar ciertos datos a las agencias gubernamentales. En respuesta a dicha solicitud, el Ayuntamiento de Seattle, junto con metadatos de 32 millones de cartas, envi√≥ 256 primeros caracteres de cada mensaje al activista de Internet Matt Chapman. Entre ellos estaban los nombres y contrase√Īas de los usuarios, n√ļmeros de tarjetas de cr√©dito, tarjetas de seguridad social y licencias de conducir, informes policiales, datos de investigaci√≥n del FBI y otra informaci√≥n confidencial. Y el gobierno sueco revel√≥ accidentalmente los datos personales de los participantes en el programa de protecci√≥n de testigos y varios agentes de la ley.

¬ŅCu√°les son las consecuencias? En comparaci√≥n con los casos descritos anteriormente, el incidente de Amazon es relativamente inofensivo. Sin embargo, le hace pensar si vale la pena dejar entrar dispositivos inteligentes en la casa, especialmente aquellos que pueden escuchar, y qu√© tan √ļtil puede ser GDPR para un pirata inform√°tico que ya ha obtenido acceso a su cuenta.

Un par de vulnerabilidades que (casi) mataron los servicios


Microsoft Achilles Heel


Que paso Un empleado de SafetyDetective descubrió una cadena de vulnerabilidades críticas en los servicios web de Microsoft , lo que permitió acceder a success.office.com en siete pasos y enviar correos electrónicos de phishing en nombre de la empresa.

Cual es el motivo. El punto de acceso era una aplicación web de Azure rota. Después de tomar el control del dominio success.office.com con su ayuda, el investigador utilizó errores en la verificación de OAuth para evitar el mecanismo de autorización y obtener tokens de otras personas mediante phishing. La víctima de tal truco difícilmente habría adivinado el truco, ya que un enlace peligroso tendría una URL oficial como: login.live.com.

¬ŅCu√°les son las consecuencias? Despu√©s de descubrir la vulnerabilidad, SafetyDetective contact√≥ a Microsoft en junio de 2018. La compa√Ī√≠a respondi√≥ y corrigi√≥ la situaci√≥n en noviembre de 2018. Los expertos en seguridad creen que la vulnerabilidad afect√≥ a unos 400 millones de usuarios y permiti√≥ el acceso a todas las cuentas de cuentas de Microsoft, desde Microsoft Outlook hasta la Tienda de Microsoft.

Agonía Google+


Que paso Durante el a√Īo, los expertos de Google encontraron un par de vulnerabilidades en una red social moribunda. Uno de ellos , que permiti√≥ conocer la edad de inicio de sesi√≥n, el sexo, la direcci√≥n de correo electr√≥nico y el lugar de trabajo del usuario, exist√≠a desde 2015 y afect√≥ a aproximadamente 500 mil cuentas, el segundo apareci√≥ en el c√≥digo relativamente recientemente , en noviembre de 2018, pero revel√≥ datos mucho m√°s confidenciales: bajo ataque hab√≠a 52.5 millones de cuentas.

Cual es el motivo. Una auditoría de seguridad mostró que ambas vulnerabilidades fueron causadas por errores en la API de Google+ que abrieron el acceso no autorizado a los datos del usuario para las aplicaciones conectadas.

¬ŅCu√°les son las consecuencias? Google no puede responder con confianza a la pregunta de si se explot√≥ la primera vulnerabilidad, ya que los registros de API se almacenan durante no m√°s de dos semanas. La segunda vulnerabilidad se not√≥ y solucion√≥ 6 d√≠as despu√©s de la aparici√≥n, sin embargo, la compa√Ī√≠a a√ļn decidi√≥ acelerar el cierre de Google+. Las API se deshabilitar√°n el 7 de marzo de 2019. La red social dejar√° de funcionar por completo en abril de este a√Īo.

Un registro de DDoS


Que paso El 28 de febrero de 2018, los piratas informáticos lanzaron un ataque récord de 1.35 Tb / s en los servidores de GitHub , pero el 5 de marzo de 2018, los analistas informaron que el récord se rompió. Durante un nuevo ataque, la red de uno de los proveedores estadounidenses fue sometida a una carga, que alcanzó un máximo de 1.7 Tb / s.

Cual es el motivo. La culpa de esto es la vulnerabilidad en el c√≥digo Memcached conocido desde 2014: software para el almacenamiento en cach√© de datos en la RAM del servidor. En el oto√Īo de 2017, se encontr√≥ una forma de utilizar la vulnerabilidad para implementar ataques DRDoS con la multiplicaci√≥n del tr√°fico a trav√©s de servidores reflectores vulnerables.

¬ŅCu√°les son las consecuencias? Es probable que se rompa el r√©cord, ya que todav√≠a hay muchos recursos en la red que usan la configuraci√≥n de Memcached vulnerable incorrecta. Para protegerse contra tales ataques, Cloudflare recomienda restringir o bloquear UDP para el puerto 11211.

El n√ļmero de incidentes en el campo de la seguridad de la informaci√≥n solo est√° creciendo. En este breve recorrido, hemos recopilado solo una parte del espectro de posibles amenazas, muchas de las cuales a√ļn no se han detectado. Si desea proteger su servicio o convertirse en un Sherlock Holmes de sombrero blanco, junto con los expertos del Distrito Binario de la Academia de Seguridad Cibern√©tica de BI.ZONE llevar√° a cabo para usted una aplicaci√≥n intensiva de seguridad de aplicaciones web e investigaci√≥n de ataques cibern√©ticos para empresas . Los cursos se llevar√°n a cabo del 16 al 17 de febrero en el lugar de octubre digital.

Source: https://habr.com/ru/post/438100/


All Articles