Hacker que vende 40 millones de registros de usuarios de la well-known aplicación Wishbone


Espoleta

Imagen a través del sitio net Wishbone

Un hacker ha puesto a la venta hoy los detalles de 40 millones de usuarios registrados en Espoleta, una aplicación móvil preferred que permite a los usuarios comparar dos elementos en una uncomplicated encuesta de votación.

Los datos se anuncian en múltiples foros de piratería y se venden por ,85 bitcoins (~ $ 8000), según los anuncios vistos por ZDNet.

Según las afirmaciones del vendedor y una muestra de los datos publicados en línea, los datos de Wishbone incluyen información del usuario, como nombres de usuario, correos electrónicos, números de teléfono, ciudad / estado / país, pero también contraseñas con hash.

wishbone-sample.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/20/267b314c-1b2a-4104-ace6-0ba5ed84b720/wishbone-sample.png

Imagen: ZDNet

El hacker afirma que las contraseñas están en formato SHA1 sin embargo, la muestra que ZDNet revisó hoy contenía contraseñas en MD5.

MD5 es un formato de hash de contraseña débil que se puede descifrar para revelar las contraseñas de texto sin formato originales, que ZDNet pudo hacer para algunas cuentas usando herramientas en línea disponibles gratuitamente.

Los datos también incluían enlaces a las fotos de perfil de Wishbone. Las URL incluidas en los datos de muestra cargaron imágenes que representan a menores, una categoría de edad que la aplicación Wishbone siempre ha sido históricamente preferred (para consternación de muchos padres)

Wishbone hack tuvo lugar a principios de este año

El vendedor afirma que los datos de la aplicación Wishbone se obtuvieron en un hack que tuvo lugar a principios de este año. El registro del usuario y las últimas fechas de inicio de sesión incluidas en la muestra de datos de Wishbone parecen confirmar esta declaración, con todas las marcas de tiempo que datan de enero de 2020.

Sin embargo, no está claro si la persona que ha colocado todos los anuncios en foros de piratería es el pirata informático genuine.

La persona detrás de los anuncios del foro es lo que los investigadores de seguridad llaman un «agente de datos», un tipo de ciberdelincuente especializado en comprar y revender bases de datos pirateadas en el cibercriminal clandestino.

Según los anuncios vistos por ZDNet, este actor de amenazas actualmente está vendiendo bases de datos de decenas de otras compañías, totalizando más de 1.500 millones de registros.

wishbone-hacker.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/05/20/834bb8b5-7c92-4821-93c0-797c03b70b61/wishbone-hacker.png

La mayoría de las bases de datos son de compañías que han informado de hacks en años anteriores. Wishbone también fue pirateado en 2017 cuando un hacker obtuvo detalles para 2.2 millones de usuarios.

ZDNet verificó hoy que la muestra de datos de este hack reciente no se incluyó en el hack de 2017. Tomamos correos electrónicos de usuarios de la muestra de datos de hoy y los verificamos contra He sido Pwned, un sitio internet que permite a los usuarios verificar si sus correos electrónicos se han incluido en hacks anteriores.

Sin embargo, dado que Have I Been Pwned permite a los usuarios ocultar su correo electrónico de búsquedas públicas, también verificamos estos correos electrónicos en una plataforma privada administrada por inteligencia de amenazas KELA, que también ha estado indexando y rastreando datos filtrados en incumplimientos anteriores.

Ninguna de las cuentas incluidas en la muestra compartida hoy se incluyeron en la violación de Wishbone 2017, lo que confirma que se trata de cuentas nuevas, y este es un nuevo truco.

Un portavoz de Mammoth Media no estuvo disponible de inmediato para realizar comentarios.

Si bien Wishbone no ha revelado en los últimos años su número total de usuarios, la aplicación ha estado en las 50 aplicaciones de redes sociales más populares de iOS App Retailer durante años, alcanzando su punto máximo en 2018, cuando se ubicó en el major 10 de la categoría. Google Participate in Store, la aplicación tiene entre 5 millones y 10 millones de descargas.



Enlace a la noticia primary