Los hackers rompen Mixcloud y venden los datos de los usuarios en línea
Después de que violan un servicio en línea o un sitio web, los piratas informáticos generalmente intentan monetizar los datos que han robado vendiéndolos en la web oscura o en uno de los muchos foros de pirateo indexados por Google y de fácil acceso. Dado lo valiosa que puede ser la información personal, a menudo, vender los datos a otros delincuentes no es un gran desafío. Aparentemente, sin embargo, las bases de datos robadas son a veces más difíciles de cambiar. Un pirata informático con el apodo A_W_S, por ejemplo, probablemente estaba teniendo dificultades para vender una base de datos que había robado del servicio de transmisión Mixcloud, por lo que decidieron correr la voz alardeando sobre el ataque a los medios.
La semana pasada, A_W_S se puso en contacto con Zack Whittaker de TechCrunch, Joseph Cox de Motherboard y Catalin Cimpanu de ZDNet y les dijo que Mixcloud había sufrido una violación de datos. A_W_S dijo que él/ella había logrado robar los registros de la friolera de 21 millones de suscriptores, y los datos estaban a la venta en un oscuro mercado web.
A_W_S no es realmente nuevo para este tipo de cosas. Según el reportero de ZDNet, trabajaron junto a otro cibercriminal conocido como Gnosticplayers, cuyo amor por la atención de los medios se hizo evidente a principios de este año después de algunos ataques relativamente de alto perfil. Pero, ¿cómo se compara la brecha de Mixcloud con las actividades de los jugadores gnósticos?
No es la violación más horrible del mundo.
Los tres equipos de noticias recibieron muestras de los datos para confirmar su autenticidad. Los reporteros vieron nombres de usuario, direcciones de correo electrónico e IP, fechas de registros de cuentas y salsas de las contraseñas de las personas en la base de datos. Se pusieron en contacto con algunas de las personas afectadas e intentaron registrar nuevas cuentas de Mixcloud con algunos de los correos electrónicos, y confirmaron que la información es realmente genuina. Las fechas en que se realizaron algunos de los registros sugirieron que el ataque se realizó hace solo unas semanas. Por lo tanto, los datos son reales y probablemente sean válidos. Es bueno, entonces, que no haya mucho.
Después de enterarse de la violación, Mixcloud señaló que no almacena detalles de tarjetas de crédito ni direcciones físicas. También dijo que la mayoría de sus usuarios se han registrado en el servicio utilizando sus cuentas de Facebook, lo que, en sí mismo, limita la cantidad de datos expuestos en cierta medida. Más importante aún, el proveedor de servicios de transmisión dijo que las contraseñas robadas han sido saladas y procesadas de forma segura, lo que los medios de comunicación lograron confirmar. Mixcloud usó SHA-2, un algoritmo de hashing que es prácticamente imposible de revertir.
Como resultado, los delincuentes que pagan por la base de datos en realidad no recibirán mucho por su dinero, lo que probablemente sea la razón por la cual los datos no atraen tanta atención. Cuando TechCrunch y Motherboard escribieron sobre la violación el 29 de noviembre, A_W_S estaba pidiendo 0.5 bitcoin o $ 4,000 por ella, pero para cuando salió el informe de ZDNet el 1 de diciembre, el precio se había reducido a 0,27 bitcoin o alrededor de $ 2,000.
No es la mejor respuesta del mundo.
Mixcloud aparentemente no sabía nada sobre la violación antes del informe inicial en los medios. Aproximadamente 24 horas después de la noticia, el proveedor de servicios de transmisión ideó lo que Zack Whittaker describió con bastante precisión como "una declaración corporativa repetitiva". Además de la inevitable declaración de "nos tomamos muy en serio la seguridad", la publicación del blog contenía información sobre los mecanismos de almacenamiento de contraseñas y sobre la cantidad relativamente limitada de datos expuestos. No contenía el número de personas afectadas por la violación, y no dijo nada sobre las precauciones tomadas para protegerlos mejor en el futuro. La decisión de incluir una sección de preguntas frecuentes que solo tiene dos preguntas también es bastante extraña considerando el hecho de que supuestamente se han robado más de 20 millones de registros.
Cuando los periodistas pidieron más comentarios, los portavoces de Mixcloud se mantuvieron en silencio, lo que es una prueba más de que el proveedor del servicio de transmisión podría haber sido un poco más transparente en su divulgación. Solo podemos esperar que otros proveedores que sufren violaciones de datos puedan manejarlos un poco mejor.
