Informe de (in)Seguridad: Monedas Shib robadas, el villano de Disney y la filtración de datos de millones de estadounidenses
02.08.2024
VolverTerminadas las vacaciones de invierno, esperamos que haya tenido tiempo para relajarse y disfrutar. Para añadir un poco de emoción a tus días de trabajo, compartimos una recopilación de incidentes de Seguridad. En esta edición: el último giro en la saga Snowflake, las aventuras de robots.txt y el caso del robo de meme-coin.
Secuela de Showleak
Lo que ocurrió: AT&T sufrió la mayor filtración de datos de su historia.
Cómo ocurrió: Los atacantes accedieron a la base de datos de AT&T a través de la cuenta Snowflake de la empresa. La base de datos contenía números de teléfono y datos detallados sobre llamadas y SMS entrantes y salientes de 110 millones de clientes.
Según Mandiant, el ataque se debió a que la seguridad de la cuenta era insuficiente. Los hackers utilizaron infostealers para obtener los datos de acceso. Mientras tanto, las empresas clientes no habían utilizado una función MFA disponible.
Inicialmente, los atacantes querían obtener un millón de dólares por eliminar la base de datos robada, pero al final les pagaron 370.000 dólares. Uno de los presuntos piratas informáticos ha sido detenido. La búsqueda de cómplices continúa.
AT&T afirma que nada más descubrirse la filtración, la empresa cooperó con expertos en Seguridad de la Información y notificó el caso a las autoridades pertinentes, incluido el Departamento de Justicia de EE.UU., lo que le permitió posponer un anuncio público hasta hace poco debido a los posibles riesgos para la seguridad nacional.
Anteriormente, escribimos sobre el pirateo Snowflake, que afectó a TicketMaster. Los foros de hackers siguen vendiendo datos robados, incluidas entradas para próximos conciertos de músicos populares. Los clientes de Snowflake son en su mayoría las mayores empresas del mundo: AT&T y HP, por lo que sus datos también podrían estar ya comprometidos.
¡Parece que soy famoso!
Lo que ocurrió: Un fabricante de equipos informáticos filtró accidentalmente datos de clientes.
Cómo ocurrió: A principios de junio, el canal de YouTube Gamers Nexus publicó un vídeo titulado "El gran error de Zotac", en el que revelaba que los datos privados de Zotac, como facturas, direcciones, información de contacto de clientes y solicitudes, eran indexados por los motores de búsqueda. Esto significaba que la información se hacía públicamente accesible cuando se buscaban términos como "Zotac RMA".
Esto ocurrió probablemente debido a la mala configuración del archivo robots.txt, que guía a los rastreadores web sobre lo que debe o no debe ser indexado.
El incidente fue descubierto inicialmente por uno de los espectadores de Gamers Nexus. Se encontró con sus datos personales en línea y lo denunció a Zotac. La respuesta a esta petición en particular fue rápida, pero el problema más general quedó sin resolver. Sólo los datos del espectador afectado desaparecieron del buscador.
Para llamar la atención sobre el problema, el espectador afectado se puso en contacto con Gamers Nexus, y el canal compartió esta noticia. Zotac no solucionó el problema y eliminó los datos filtrados hasta que la situación atrajo la atención y las críticas de sus socios comerciales en las redes sociales.
El villano de Schrödinger en Disney
Lo que ocurrió: Disney fue víctima de un ataque de hackers.
Cómo ocurrió: El 12 de junio apareció en un foro de hackers un post con más de un terabyte de datos confidenciales de Disney. La filtración incluía imágenes, cuentas, código, material de marketing, información sobre próximos proyectos, correspondencia de empleados y datos relacionados con Disneyland París.
Los atacantes afirmaron que contaron con la ayuda de un infiltrado que se echó atrás en el último momento. Sin embargo, con la ayuda de un insider o sin ella, los hackers pudieron acceder a información del mensajero corporativo Slack.
El grupo, que se refiere a sí mismo como hacktivistas, declaró que su ataque a Disney fue dirigido. Afirmaron que sus motivos eran "proteger los derechos de los artistas", "garantizar una compensación justa por su trabajo" y abordar el trato de la empresa a empleados y consumidores. Disney está investigando el incidente.
Robo de criptomonedas
Lo ocurrido: Unos piratas informáticos robaron 235 millones de dólares de la bolsa de criptomonedas india WazirX.
Cómo ocurrió: El incidente se dio a conocer el 18 de julio, cuando la bolsa de criptomonedas lo denunció en sus redes sociales. Los hackers lograron comprometer un monedero multifirma, que requiere la aprobación de al menos dos firmantes para autorizar transacciones. Había seis firmantes en total: cinco de WazirX y uno de Liminal, una empresa especializada en la gestión de activos digitales y que proporciona monederos multifirma.
Los atacantes aprovecharon una discrepancia entre las interfaces utilizadas por ambas partes. Según WazirX, el ciberataque se produjo debido a un desajuste entre los datos mostrados en la interfaz de Liminal y los detalles reales de la transacción.
Al final, los hackers retiraron 235 millones de dólares en varias criptodivisas, incluidas SHIB, PEPE, Ethereum, Matic, USDT y Gala. Los informes de los medios también indican que los atacantes están utilizando el intercambio descentralizado Uniswap.
En respuesta al incidente, WazirX ha suspendido los retiros de criptodivisas y ha dicho que está investigando activamente el incidente, prometiendo proporcionar actualizaciones a medida que se disponga de más información.
Ganamos y perdemos... datos confidenciales juntos
Lo que ocurrió: La Federación Internacional del Automóvil (FIA) sufrió un ataque informático.
Cómo ocurrió: El 3 de julio apareció en el sitio web de la FIA un comunicado sobre un reciente incidente de datos. El organizador de la Fórmula 1 reveló que un ataque de phishing permitió el acceso no autorizado a dos cuentas de correo electrónico, comprometiendo los datos personales contenidos en ellas.
La FIA no facilitó más detalles sobre la filtración, como qué datos concretos fueron expuestos o robados, cuándo se descubrió el ataque o durante cuánto tiempo tuvieron acceso los piratas informáticos a sus sistemas.
Sin embargo, la organización destacó que ha tomado medidas de seguridad adicionales para prevenir ataques similares en el futuro y expresó su pesar por las molestias causadas a los afectados.
Un equipo para matar y otro para curar
Lo que ocurrió: Rite Aid, la tercera cadena de farmacias más grande de Estados Unidos, sufrió un ciberataque.
Cómo ocurrió: El 12 de julio, la empresa informó a los medios de comunicación de que estaba investigando el incidente del SI de junio y empezó a notificarlo a las partes afectadas. La empresa ha contratado a especialistas en seguridad externos para restaurar sus sistemas y ayudar en la investigación.
Rite Aid no especificó qué datos se vieron comprometidos, pero aseguró que la información sanitaria y financiera no se vio afectada por el incidente.
Más tarde, un grupo de piratas informáticos reivindicó la autoría del incidente. En su sitio web de la darknet, los atacantes informaron de la captura de 10 GB de información con 45 millones de filas de datos, incluidos nombres, documentos de identidad, direcciones, fechas de nacimiento e información de un programa de recompensas.
Según los medios de comunicación, este grupo de hackers tiene como objetivo las empresas que se niegan a pagar las peticiones de rescate. Los datos robados se venden en su sitio web, a menudo en forma de subasta.
No hay factor de autenticación lo suficientemente seguro para evitar que llegue a ti
Lo que ocurrió: Se filtraron los datos de los usuarios del servicio de autenticación multifactor Twilio Authy.
Cómo ocurrió: Unos atacantes desconocidos aprovecharon una vulnerabilidad del sistema para obtener los números de teléfono de los usuarios, el estado de sus cuentas e información sobre los dispositivos conectados. Estos datos robados se pusieron a la venta en un foro de hackers.
Durante el ataque, se explotó un punto final de API desprotegido. Los hackers introdujeron en él una gran cantidad de números de teléfono. Si un número era válido, el punto final devolvía información sobre las cuentas asociadas.
Twilio abordó rápidamente el problema cerrando el punto final vulnerable y bloqueando las solicitudes no autorizadas. La empresa también publicó una entrada en su blog aconsejando a los usuarios que actualizaran su software para mejorar la seguridad.
Cyber brawl, la estrella
Lo que ocurrió: Se revelaron datos de los asistentes a la conferencia de desarrolladores de Roblox.
Cómo ocurrió: A principios de junio, la compañía comenzó a enviar mensajes advirtiendo de una filtración de datos, que afectaba a los asistentes a las conferencias de desarrolladores de Roblox de 2022, 2023 y 2024.
Uno de los socios de Roblox responsable del registro de usuarios fue hackeado.
Roblox declaró que uno de los proveedores notificó a la empresa que su sitio web había tenido acceso no autorizado a información de usuarios de Roblox de la lista de asistentes a la conferencia de desarrolladores de 2022-2024.
Los datos robados incluían nombres completos, direcciones de correo electrónico y direcciones IP. Según Have I Been Pwned, el 63% de los correos electrónicos eran nuevos y no habían estado implicados en filtraciones anteriores. Roblox ha tomado medidas para prevenir futuros incidentes.
Consejo de seguridad del mes: En temporada de vacaciones todo es más relajado, pero no para los ciberdelincuentes y los infiltrados. Estos "trabajadores" están deseando aprovecharse de la ausencia de sus colegas o del ajetreo vacacional de los especialistas en SI. El sistema DCAP puede ayudarle a contrarrestar a estos "trabajadores de tiempo completo" y a reducir los riesgos internos a la Seguridad de la Información. Pruébelo gratis durante 30 días en este enlace.