Hackeado el indexador de datos ‘Data Viper’ – Krebs on Security


Viper de datos, una startup de seguridad que proporciona acceso a unos 15 mil millones de nombres de usuario, contraseñas y otra información expuesta en más de 8,000 violaciones de sitios web, ha sido hackeada y su base de datos de usuarios publicada en línea. Los piratas informáticos también afirman que están vendiendo en la web oscura aproximadamente 2 mil millones de registros que Data Viper recopiló a partir de numerosas violaciones y filtraciones de datos, incluidos datos de varias compañías que probablemente no saben que han sido pirateados o aún no han revelado públicamente una intrusión.

La aparente violación en Data Viper, con sede en St. Louis, Missouri, ofrece una historia amonestadora y retorcida de lo que puede suceder cuando los investigadores de seguridad que buscan reunir información sobre actividades ilegales en línea se acercan demasiado a sus presas o pierden de vista su supuesta misión. El incidente también destaca el área a menudo turbia entre lo que es legal y ético en la lucha contra el delito cibernético.

Data Viper es una creación de Vinny Troia, un investigador de seguridad que dirige una empresa de inteligencia de amenazas cibernéticas llamada Night Lion Security. Desde su creación en 2018, Data Viper se ha considerado a sí mismo como una "plataforma de inteligencia de amenazas diseñada para proporcionar a las organizaciones, investigadores y agentes de la ley el acceso a la mayor colección de canales privados de piratas informáticos, pastas, foros y bases de datos violadas en el mercado".

Muchas compañías privadas venden acceso a dicha información a clientes examinados, principalmente funcionarios encargados de hacer cumplir la ley y expertos en lucha contra el fraude que trabajan en funciones de seguridad en las principales empresas que pueden pagar la factura de estos servicios a menudo caros.

Data Viper tiene buscó diferenciarse al anunciar "acceso a datos de incumplimiento privados y no revelados". Como KrebsOnSecurity señaló en una historia de 2018, Troia ha reconocido hacerse pasar por comprador o vendedor en varios foros web oscuros como una forma de adquirir bases de datos antiguas y recientemente pirateadas de otros miembros del foro.

Pero este enfoque puede haber fracasado durante el fin de semana, cuando alguien publicó en la web profunda un enlace a un "e-zine" (revista electrónica) que describe el pirateo de Data Viper y se vincula a la base de usuarios de Data Viper. El póster anónimo alegaba que había estado dentro de Data Viper durante meses y había extraído cientos de gigabytes de datos vulnerados del servicio sin previo aviso.

El intruso también se vinculó a varias docenas de nuevos hilos de ventas en el oscuro sitio web. Mercado del imperio, donde anuncian la venta de cientos de millones de detalles de cuentas de docenas de bases de datos de sitios web filtradas o pirateadas que Data Viper supuestamente adquirió a través del comercio con otros en foros de delitos informáticos.

Una publicación en línea de los atacantes que irrumpieron en Data Viper.

Algunas de las bases de datos a la venta se vinculan con infracciones conocidas y denunciadas públicamente. Pero otros corresponden a compañías que no parecen haber revelado un incidente de seguridad. Como tal, KrebsOnSecurity no nombra a la mayoría de esas compañías y actualmente está tratando de determinar la validez de las reclamaciones.

KrebsOnSecurity habló con Victor Ho, el CEO de Fivestars.com, una empresa que ayuda a las empresas más pequeñas a ejecutar programas de fidelización de clientes. Los piratas informáticos afirmaron que están vendiendo 44 millones de registros tomados de Fivestars el año pasado. Ho dijo que no estaba al tanto de ningún incidente de seguridad de datos y que tal evento no había sido reportado a su compañía, pero que Fivestars ahora está investigando los reclamos. Ho permitió que la cantidad de registros mencionados en el hilo oscuro de ventas de la web coincida aproximadamente con la cantidad de usuarios que su compañía tenía el año pasado.

Pero el 3 de agosto de 2019, la cuenta de Twitter de Data Viper observado casualmente, "FiveStars: 44 millones de registros infringidos agregados, incluido nombre, correo electrónico y fecha de nacimiento". La publicación, enterrada entre una serie de declaraciones similares sobre enormes cachés de información personal violada agregada a Data Viper, apenas recibió atención y obtuvo solo un retweet.

JUGADORES GNÓSTICOS, CAZADORES BRILLANTES

Alcanzado vía Twitter, Troia reconoció que su sitio había sido pirateado, pero dijo que los atacantes solo tenían acceso al servidor de desarrollo de Data Viper, y no a los sistemas de producción más críticos que alimentan el servicio y que albergan su índice de credenciales comprometidas.

Troia dijo que las personas responsables de comprometer su sitio son las mismas personas que piratearon las bases de datos que ahora venden en la web oscura y afirman haber obtenido exclusivamente de su servicio.

Además, Troia cree que el ataque fue un ataque preventivo en respuesta a una nota clave que está dando en Boston esta semana: el 29 de junio, Troia tuiteó que planea usar el discurso para exponer públicamente las identidades de los piratas informáticos, de quienes sospecha que están detrás de una gran cantidad de robos de sitios web a lo largo de los años.

Las credenciales pirateadas o filtradas son apreciadas por los ciberdelincuentes involucrados en el "relleno de credenciales", una forma desenfrenada de cibercrimen que tiene éxito cuando las personas usan las mismas contraseñas en varios sitios web. Armados con una lista de direcciones de correo electrónico y contraseñas de un sitio violado, los atacantes automatizarán los intentos de inicio de sesión utilizando esas mismas credenciales en cientos de otros sitios.

La reutilización de contraseñas se convierte en órdenes de magnitud más peligrosas cuando los desarrolladores de sitios web participan en esta práctica insegura. En efecto, una publicación de enero de 2020 en el blog Data Viper sugiere que el relleno de credenciales es exactamente cómo el grupo que planea discutir en su próxima charla perpetró sus compromisos en el sitio web.

En esa publicación, Troia escribió que el grupo de hackers, conocido como "Jugadores gnósticos"Y"Cazadores brillantes", Saquearon innumerables bases de datos de sitios web utilizando aproximadamente el mismo método: dirigirse a los desarrolladores mediante ataques de relleno de credenciales para iniciar sesión en sus GitHub cuentas

"Mientras estuvieran allí, saquearían los repositorios de código, buscando claves de AWS y credenciales similares que se registraron en los repositorios de código", escribió Troia.

Troia dijo que la intrusión en su servicio no fue el resultado de la reutilización de credenciales, sino porque su desarrollador dejó accidentalmente sus credenciales expuestas en documentos que explican cómo los clientes pueden usar la interfaz de programación de aplicaciones de Data Viper.

"Diré que la ironía de cómo entraron es absolutamente increíble", dijo Troia. “Pero todo lo que dicen vender es (bases de datos) que ya estaban vendiendo. Todo esto es de jugadores gnósticos. Nada de eso vino de mí. Todo depende del programa para tratar de desacreditar mi informe y mi charla ".

Troia dijo que no sabía cuántas bases de datos que los jugadores gnósticos afirmaban haber obtenido de su sitio eran hacks legítimos o incluso públicos.

"En cuanto a los informes públicos sobre las bases de datos, mucho de eso estará en mi informe el miércoles", dijo. "Todos mis" informes "van al FBI".

HUMO Y ESPEJOS

El e-zine producido por los piratas informáticos de Data Viper afirmó que Troia usó muchos apodos en varios foros de delitos informáticos, incluido el apodo "Exabyte" en OGUsers, un foro estrechamente asociado con las adquisiciones de cuentas.

En una conversación con KrebsOnSecurity, Troia reconoció que esta atribución de Exabyte era correcta, y señaló que estaba contento con la exposición porque solidificó aún más sus sospechas sobre quién era el responsable de hackear su sitio.

Esto es interesante porque algunas de las bases de datos pirateadas que los intrusos afirmaron haber adquirido después de comprometer Data Viper corresponden a descubrimientos acreditados a Troia en los que las compañías expusieron inadvertidamente decenas de millones de datos de usuarios al dejarlos accesibles públicamente en línea en servicios en la nube como EC2 de Amazon.

Por ejemplo, en marzo de 2019, Troia dijo que él descubrió conjuntamente una base de datos de acceso público que contiene 150 gigabytes de datos de marketing de texto sin formato – Incluyendo 763 millones de direcciones de correo electrónico únicas. Los datos habían sido expuestos en línea por Verificaciones.io, una firma de validación de correo electrónico.

El 12 de octubre de 2019, un nuevo usuario llamado Exabyte se registró en RaidForums – un sitio dedicado a compartir bases de datos y herramientas pirateadas para perpetrar ataques de relleno de credenciales. Esa cuenta Exabyte se registró menos de dos semanas después de que Troia creó su identidad Exabyte en OGUsers. El Exabyte on RaidForums publicó el 26 de diciembre de 2019 que le estaba proporcionando a la comunidad un regalo de Navidad tardío: se filtraron 200 millones de cuentas de Verifications.io.

"Verificaciones.io finalmente está aquí!" Exabyte entusiasmado. "Esta versión contiene 69 de 70 de las bases de datos originales verifications.io, con un total de más de 200 millones de cuentas".

La oferta de Exabyte de la base de datos Verifications.io en RaidForums.

En mayo de 2018, Troia apareció en Wired.com y muchas otras publicaciones después de descubrir que la firma de inteligencia de ventas Apolo dejaron 125 millones de direcciones de correo electrónico y nueve mil millones de puntos de datos expuestos públicamente en un servicio en la nube. Como informé en 2018, antes de esa divulgación, Troia había buscado mi ayuda para identificar la fuente de los datos expuestos, que al principio e incorrectamente concluyó que fue expuesto por LinkedIn.com. Por el contrario, Apollo había raspado y cotejado los datos de muchos sitios diferentes, incluido LinkedIn.

Luego, en agosto de 2018, alguien que usaba el apodo de "Tarjeta de sonido" publicó un hilo de ventas para el ahora desaparecido Patear el culo foro web oscuro que ofrece la información personal de 212 millones de usuarios de LinkedIn a cambio de dos bitcoins (entonces el equivalente a ~ $ 12,000 USD). Increíblemente, Troia me había dicho previamente que él era la persona detrás de esa identidad de Soundcard en el foro de Kickass.

Soundcard, también conocida como Troia, que ofreció vender lo que afirmó que eran todos los datos de usuario de LinkedIn, en el foro Dark Web Kickass.

Cuando se le preguntó sobre las publicaciones de Exabyte en RaidForums, Troia dijo que no era el único que tenía acceso a los datos de Verifications.io, y que el alcance completo de lo que estaba sucediendo se aclararía pronto.

"Más de una persona puede tener el mismo nombre‘ Exabyte ", dijo Troia. "Tanto de los dos lados que estás viendo es humo y espejos".

Humo y espejos, de hecho. Es totalmente posible que este incidente sea un truco de relaciones públicas elaborado y cínico por Troia para de alguna manera lanzar una trampa a los malos. Troia publicó recientemente un libro sobre la caza de amenazas, y en la página 360 (PDF) describe cómo previamente organizó un ataque contra su propio sitio y luego se jactó de la intrusión falsa en los foros de delitos cibernéticos en un intento por recopilar información sobre cibercriminales específicos que tomaron el control. cebo: las mismas personas, por cierto, afirma que están detrás del ataque en su sitio.

AGUAS MURKY

Si bien el comercio de bases de datos pirateadas puede no ser técnicamente ilegal en los Estados Unidos, es justo decir que Departamento de justicia de EE. UU. (DOJ) tiene una visión tenue de aquellos que operan servicios comercializados para cibercriminales.

En enero de 2020, las autoridades estadounidenses tomó el dominio de WeLeakInfo.com, un servicio en línea que durante tres años vendió el acceso a datos pirateados de otros sitios web. Dos hombres fueron arrestados en relación con ese ataque. En febrero de 2017, el Departamento de Justicia derribó LeakedSource, un servicio que funcionaba de manera similar a WeLeakInfo.

El DOJ guía lanzada recientemente (PDF) para ayudar a las empresas de inteligencia de amenazas a evitar el riesgo de enjuiciamiento al recopilar y comprar datos de fuentes ilícitas en línea. Las pautas sugieren que algunos tipos de recopilación de inteligencia, en particular el intercambio de información mal obtenida con otros en foros delictivos como una forma de obtener acceso a otros datos o para aumentar el estado de uno en el foro, podría ser especialmente problemático.

"Si un profesional se convierte en un miembro activo de un foro e intercambia información y se comunica directamente con otros miembros del foro, el profesional puede enredarse rápidamente en una conducta ilegal, si no tiene cuidado", se lee en el documento del DOJ de febrero de 2020.

El documento continúa:

"Puede ser más fácil para un profesional encubierto extraer información de fuentes en el foro que han aprendido a confiar en la personalidad del practicante, pero desarrollar confianza y establecer de buena fe como un compañero criminal puede implicar ofrecer información útil, servicios o herramientas que pueden ser solía cometer crímenes ".

“Participar en tales actividades puede resultar en una violación de la ley penal federal. Si ha ocurrido un delito generalmente depende de las acciones e intenciones de un individuo. Un profesional debe evitar hacer cualquier cosa que promueva los objetivos criminales de otros en los foros. Aunque el practicante no tiene intención de cometer un delito, ayudar a otras personas involucradas en conducta criminal puede constituir el delito federal de ayudar e instigar ".

"Un individuo puede ser considerado responsable de ayudar e incitar un delito federal si toma un acto afirmativo, incluso un acto que es legal por sí solo, que promueve el delito y se lleva a cabo con la intención de facilitar la comisión del delito . "


Etiquetas: incumplimiento de Apollo, incumplimiento de Data Viper, Empire Market, Exabyte, Five, RaidForums, Soundcard, Verifications.io incumplimiento, Vinny Troia

Esta entrada fue publicada el lunes 13 de julio de 2020 a las 7:30 pm y está archivada bajo A Little Sunshine, Ne'er-Do-Well News, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original