Los registros de 40 millones de usuarios de la aplicación Wishbone se venden en línea

Como mencionamos ayer, los ciberdelincuentes a menudo intentan ganar dinero con datos comprometidos hace años. Cuando Catalin Cimpanu, uno de los reporteros de seguridad de ZDNet, encontró un anuncio que vendía la información de los usuarios de la aplicación Wishbone en un foro subterráneo, probablemente pensó que esto es exactamente lo que está sucediendo.

La popular aplicación de prueba sufrió una violación de datos en 2016 cuando los piratas informáticos filtraron una base de datos que contenía la información personal de aproximadamente 2.2 millones de usuarios. En ese momento, los ciberdelincuentes afirmaron que solo están divulgando una pequeña porción de la información robada, y parecía que el nuevo anuncio podría contener el resto de los detalles robados hace cuatro años. Sin embargo, después de revisar una muestra de la base de datos recientemente anunciada, Cimpanu se dio cuenta de que este es un nuevo truco.

Un cibercriminal está vendiendo 40 millones de discos Wishbone por $ 8 mil

El vendedor señaló que la base de datos se tomó en 2020, y el reportero de ZDNet confirmó esto al verificar las marcas de tiempo y revisar los datos de la muestra con un par de servicios de notificación de incumplimiento, lo que demostró que de hecho es bastante reciente. El número de personas afectadas se sitúa en alrededor de 40 millones, y los registros incluyen nombres, nombres de usuario, direcciones de correo electrónico, números de teléfono, ubicaciones geográficas y contraseñas con hash. El vendedor solicita 0,85 bitcoins o alrededor de $ 8 mil, lo que significa que las cuentas tienen un precio de $ 0.0002 cada una.

Los desarrolladores de Wishbone aún no han emitido una declaración oficial, pero ZDNet ha confirmado que los datos son genuinos. Es relativamente barato y lo ofrece lo que parece ser un operador experimentado. La investigación de Catalin CImpanu reveló que el mismo vendedor está ofreciendo docenas de bases de datos robadas a todo tipo de proveedores de servicios. En total, el periodista calculó que el ciberdelincuente posee la friolera de 1.500 millones de registros robados.

Lo más probable es que el vendedor no tenga problemas para cambiar la base de datos de Wishbone y, mientras cuenta los beneficios, los usuarios de la aplicación deben pensar en las posibles consecuencias de la violación.

¿Cómo puede la violación de datos de Wishbone afectar a los usuarios?

Aunque no hay datos financieros involucrados, hay suficiente información de identificación personal para facilitar todo tipo de estafas. Con los detalles de contacto, los piratas informáticos pueden ponerse en contacto fácilmente con posibles objetivos, y el resto de los datos pueden ayudarlos a lanzar una trampa de ingeniería social en la que es probable que caigan las víctimas. Considerando el hecho de que la gran mayoría de la base de usuarios de Wishbone consiste de las adolescentes, las ramificaciones de la violación de datos son aterradoras.

Se podría argumentar que la violación no debería haber sucedido, pero, como hemos dicho en el pasado, ninguna empresa es inmune a los ataques cibernéticos. Sin embargo, el hecho es que, aunque Wishbone ya ha pasado por un incidente de seguridad, sus desarrolladores no parecen haber aprendido la lección.

En el anuncio, el vendedor de los datos dijo que las contraseñas fueron codificadas con SHA1. Esto es un problema porque SHA1 no es la función hash más robusta y se puede revertir. Sin embargo, cuando Catalin Cimpanu miró una muestra de las credenciales filtradas, se dio cuenta de que las contraseñas en realidad estaban codificadas con MD5, un algoritmo que se puede romper en segundos con herramientas de libre acceso.

La amenaza para las cuentas Wishbone de las personas es muy real, y si los usuarios afectados están reutilizando las mismas contraseñas para múltiples servicios, los daños podrían ser aún más significativos.