Mediante la utilización de la técnica SQL injection, un servidor vulnerable del proveedor de servicios de Internet Sebastian, de California, fue atacado para obtener los datos de sus usuarios. El ataque pudo ser perpetrado en cuestión de minutos gracias a la automatización con la herramienta SQLmap, la cual busca posibles ataques y los aplica, volcando la estructura y contenido de las bases de datos. Posteriormente el grupo subió un video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes.
La captura corresponde al comando sqlmap con la opción "dbs", que muestra las bases de datos disponibles en el servidor. En la parte superior de la imagen se ha resaltado el servidor que está siendo atacado, y también puede observarse información como el tipo de ataque y el motor de base de datos. En base al conocimiento de esta información, los cibercriminales pueden buscar las tablas con información de los usuarios, lo cual se muestra en la siguiente imagen:
Se han ofuscado los nombres de usuario y direcciones de correo
electrónico, pero los valores resaltados corresponden a las contraseñas.
Con esto queremos mostrar una falla grave de seguridad, más bien a
nivel conceptual, por parte de los administradores: las contraseñas
estaban almacenadas en texto plano y pueden ser usadas en forma directa
si caen en manos equivocadas. En este caso, a nivel de seguridad, la
buena práctica sería que las contraseñas estuvieran almacenadas como un
valor resultante de aplicar una función de hash (como MD5 o SHA1),
además de la utilización de "granos de sal".
Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:
Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:
En resumen, a partir de una contraseña robada en el servidor del ISP se
ha logrado acceso a la cuenta bancaria de un usuario, puesto que la
contraseña era la misma. El video luego muestra cómo se puede llevar a
cabo un movimiento de fondos, con lo cual los criminales proclaman que
han ganado cientos de miles de dólares. Por ello debemos insistir en que
nunca debe utilizarse la misma contraseña para distintos servicios.
Fuente: ESET Latinoamérica
Fuente: ESET Latinoamérica
0 comentarios:
Publicar un comentario