Todos os posts tagados Leak

Portugueses no leak do Lizardstresser.su

stresser01

O grupo Lizard Squad, responsável por colocar offline as redes da Sony Playstation e da Microsoft Xbox no Natal, teve o seu site de venda de serviço de DDoS comprometido.
A base de dados completa foi divulgada e é possível verificar alguns dados críticos.

No ficheiro SQL é possível ver registos de mais de 14.000 utilizadores registados no Lizardstresser.su. Na base de dados é possível ver os pagamentos Bitcoin efetuados pelos utilizadores, os respetivos IPs de ligação de cada um deles, o email, a password em plaintext [ao não cifrarem as passwords dos utilizadores, os Lizard Squad talvez quisessem obter acesso a outras contas associadas?] e até pedidos no sistema de suporte de ajuda.
Os Lizard Squad por este serviço receberam em Bitcoins o equivalente a cerca de 8000 euros num curso espaço de tempo [até serem detidos].

Convém salientar que, na base de dados, apenas a pesquisar por endereços de email .pt, é possível ver mais de uma dezena de emails portugueses que se registaram no serviço dos Lizard Squad. No entanto, poderá haver mais portugueses utilizando emails com outro TLD. Apenas validando a gama de IPs nacionais poderia haver um número mais conclusivo.
Dos portugueses registados, apenas alguns efetivamente pagaram o serviço utilizando Bitcoins.

Um exemplo presente no sistema de suporte do Lizardstresser.su – um brasileiro pede para colocarem em baixo um site brasileiro:

I want to get thist server down: 179.XXX.XXX.XX | But I can’t, can you please help me? (MC server hoster, brazil, original server ip: xxxxxxxxxxx.com.br)

No Tripwire, o especialista de segurança Ken Westin realça que o crime mais grave nesta situação é o registo dos utilizadores neste tipo de serviço.
Esses utilizadores sabiam exatamente que iriam contratar um serviço ilegal, com máquinas comprometidas e que poderiam danificar máquinas ou serviços alheios.

Entretanto, grande parte do grupo Lizard Squad já foi detido e a lista divulgada dos utilizadores está a ser analisada pelas autoridades competentes.

2000+ contas do Minecraft poderão ter sido comprometidas

minecraft

De acordo com o site alemão Heise, 1800 contas (email:password) do Minecraft foram publicadas no Pastebin.
A mesma fonte refere que a origem destas contas ainda é incerta, mas numa pesquisa que fiz pela web, revelou-me que algumas das contas comprometidas já tinham sido divulgadas em 2013 e algumas em 2014. Inclusive a lista original não é de 1800 contas mas sim de mais de 2000+ [publicado num site no dia 9 deste mês].

No blogue da Sophos é possível ler:

… a primeira conta que pesquisei – um email gmail com uma password de 8 carateres, já foi divulgada há bastante tempo.
Encontrámos a primeira referência num fórum português com data de 10 de Julho de 2014…

Se os dados forem confirmados como originais, estas contas dão acesso a qualquer utilizador ao jogo Minecraft, inclusive descarregá-lo para os seus computadores.

A questão que se coloca sempre nestes casos, é se os dados de acesso são os mesmo para outras contas, como por exemplo, email, redes sociais, etc.

É óbvio que 2000 contas num universo de 100 milhões de contas registadas é uma gota de água num oceano, mas nunca se sabe se estas contas são uma amostra de algo maior.

Seja como for, se é utilizador do jogo, troque a sua password. A Mojang [os criadores do jogo] tem uma página dedicada para o efeito.

Grupos divulgam dados confidenciais do Ministério da Agricultura

min_agricultura

O ataque ao site drapn.min-agricultura.pt foi, segundo informação no Pastebin, utilizando uma falha SQL Injection presente no site [fichas_detalhes.php?id=]. Segundo a mesma fonte, os responsáveis por este ataque são Hackers Street, sidekingdom12 e outsiderz arcainex.
Este tipo de vulnerabilidade é explorada na maioria das vezes com ferramentas automáticas [sqlmap, sqlninja, entre outras] e são uma das falhas mais exploradas por este tipo de grupos.

Uma falta de validação em determinados parametros de entrada do utilizador, permitem injetar código SQL e assim manipular a base de dados. Esta manipulação permitiu aos grupos adquirir acesso à base de dados do website e assim divulgar mais de 1000 dados de acesso [Nome/Email/Password].
De referir que, embora as passwords estejam na maioria cifradas em MD5, algumas encontram-se já descodificadas.

É altamente recomendado que os utilizadores presentes na lista, troquem as suas passwords, principalmente se utilizarem as mesmas noutros sites [email, Facebook, etc].

Fica por saber se o Ministério da Agricultura foi alertado para esta situação e se a falha já se encontra devidamente corrigida.
Espero que sim.

Ataque informático à Sony

sony-hacked

A Sony sofreu um ataque informático no dia 24 de novembro mas só recentemente foi divulgado a público. O grupo que lançou este ataque, intitulado de GOP [Guardian of Peace] divulgou bastante informação interna da Sony. Existem alguns rumores que o ataque teve origem na Coreia do Norte mas foi prontamente desmentido por fontes oficiais do governo.

Já existe confirmação oficial do ataque da Sony e já estão a ser feitas deligências para averiguar o que realmente se passou.

Ao que tudo indica, com este ataque, os utilizadores maliciosos obtiveram cerca de 100TB de informação confidencial. Entre esta informação é possível ver backups de emails, apresentações de projetos, salários, passwords para um vasto número de contas, certificados de segurança, informações pessoais de atores de cinema e até mesmo alguns filmes.

Segundo David Marques, Technical Manager na DRC, a análise forense deste ataque…

Implica de certeza uma capacidade humana brutal porque recolher provas de máquinas e máquinas, servers e servers, é um trabalho brutal. Para isso existem também soluções mais automatizadas, onde é possível fazer a recolha pela rede em vez de ser local, mas é massivo de qualquer forma. Depois tem que se processar essas quantidades massivas de dados à procura de alguns pormenores que indiquem intrusão ou leak de dados.
Mas não acredito que a abordagem seja essa. Acredito que seja mais tentar descobrir um ponto de intrusão, daí, partir até ao ponto inicial e depois disso, partir daí à procura dos vários pontos que foram afetados e onde existiu leak de dados.

Enquanto a Sony não confirma a veracidade de muita da informação presente no leak dos GOP, sugiro a alteração de passwords e monitorização dos cartões de crédito associados aos serviços da empresa.

Facebook verifica contas que foram comprometidas

facebook

O Facebook anunciou recentemente  que criou uma ferramenta que permite verifica contas de Facebook comprometidas que foram divulgadas em leaks.

Segundo fonte oficial, o Facebook não guarda as passwords dos utilizadores em plaintext. O que o sistema faz é obter o email e a password do leak e verificar se a password valida no sistema de processamento normal de autenticação. Basicamente é o mesmo processo que a password passa num login normal.
Se o sistema verifica que a password está correta, o utilizador afetado é alertado para mudar os seus dados de acesso imediatamente.

Esta nova funcionalidade por parte do Facebook é uma nova camada adicional de proteção aos seus utilizadores. Este sistema, juntamente com a autenticação de 2 fatores, aumenta o nível de segurança das contas de mais de 1000 milhões de utilizadores ativos.