Se advierte a los usuarios de Quidd que se filtraron 4 millones de detalles de inicio de sesión en un foro subterráneo
Al igual que cualquier otro negocio, el comercio de datos robados se ve afectado por una serie de factores diferentes. Muchas personas diferentes forman la cadena de suministro, y todos tienen un papel específico. La naturaleza de los datos y su fuente deciden qué tan alta es la demanda y, en base a ella, se forma el precio de venta. Una violación reciente de datos descubierta por RiskBased Security e informada por ZDNet puede darle una idea bastante buena de cómo funcionan las cosas.
Table of Contents
Quidd ha sufrido una violación de datos
El descubrimiento se realizó el 12 de marzo cuando los investigadores de RiskBased Security detectaron una publicación en un foro de piratería de un usuario apodado ProTag. ProTag estaba ofreciendo una base de datos que contiene las direcciones de correo electrónico, los nombres de usuario y las contraseñas hash de poco menos de 4 millones de usuarios de una plataforma de comercio de coleccionables digital llamada Quidd.
Según la investigación de ZDNet, ProTag es el pirata informático que realmente rompió las defensas de Quidd y robó los datos en 2019. La publicación del 12 de marzo fue inusual porque normalmente, el pirata informático no es el que distribuye los datos. Por lo general, este es el trabajo de los llamados comerciantes que también obtienen una parte de las ganancias cada vez que los ciberdelincuentes y los estafadores deciden desembolsar algunos nombres de usuario y contraseñas robados.
Uno de esos comerciantes le dijo a ZDNet que la base de datos Quidd se comercializó mucho antes de que ProTag la publicara en el foro de piratería. Aparentemente, los datos estaban cambiando de manos en transacciones negociadas en privado. Se desconoce si esto tiene algo que ver con eso, pero la publicación de ProTag no permaneció en línea por mucho tiempo. Poco después de que RiskBased Security lo viera, se eliminó.
A fines de marzo, el anuncio fue publicado nuevamente en el mismo foro por una persona diferente, y desde entonces, la base de datos ha sido compartida y compartida varias veces. Debemos tener en cuenta que estamos hablando de un foro de acceso público, y también debemos señalar que los detalles de la cuenta de Quidd se ofrecen de forma gratuita, lo que significa que cualquier persona con una conexión a Internet podría encender su navegador favorito y descargarlos. ¿Pero lo harán?
Un algoritmo de hashing fuerte dificulta la vida de los estafadores
Una de las primeras cosas que debemos aprender en caso de pérdida de contraseña es cómo se almacenaron las credenciales de inicio de sesión. A pesar de las innumerables advertencias, algunos proveedores de servicios continúan cometiendo errores básicos de almacenamiento de contraseñas y, como resultado, las personas que compran los detalles de inicio de sesión en la web oscura pueden comprometer fácilmente una gran cantidad de cuentas y pueden realizar sus estafas a través de ellas. Afortunadamente, Quidd no es uno de esos proveedores.
Las contraseñas se cifraron con bcrypt, uno de los algoritmos de cifrado más difíciles de descifrar. Convertir los hash de bcrypt en contraseñas de texto sin cifrar es un proceso que requiere mucho tiempo y recursos, y a menudo, los cibercriminales deciden que el esfuerzo simplemente no vale la pena. Sin embargo, no en este caso.
Como señaló RiskBased Security, los usuarios de Quidd intercambian coleccionables digitales por valor de millones de dólares, y aparentemente, los delincuentes ven esto como un incentivo lo suficientemente grande. Muchos de ellos han intentado descifrar los hash, y parece que algunos ya lo han logrado. Una de las capturas de pantalla de ZDNet muestra que un pirata informático está ofreciendo alrededor de 137 mil nombres de usuario y contraseñas de Quidd en texto sin formato, y de acuerdo con RiskBased Security, otro comerciante afirma haber descifrado más de 1 millón de hashes. Por supuesto, dado que se han tomado la molestia de eliminar el hash de los datos, estos vendedores no los entregarán de forma gratuita.
Quidd sigue callado
Ahora que los datos son de dominio público, Quidd no puede hacer mucho para evitar que los ciberdelincuentes los compartan entre ellos. Sin embargo, puede informar a sus usuarios sobre el incidente y tomar medidas para mitigar las posibles consecuencias. Por alguna razón, parece no estar haciendo ninguna de estas cosas.
No hay una declaración oficial de la plataforma, y los usuarios potencialmente afectados no reciben ninguna notificación. Tanto RiskBased Security como ZDNet escribieron a Quidd con solicitudes de comentarios, pero la plataforma prefirió no responder. Dado el hecho de que algunas de las credenciales de inicio de sesión se intercambian en texto sin formato, un restablecimiento de contraseña forzado para los usuarios afectados parece una buena llamada, pero Quidd tampoco lo ha hecho.
Como puede ver, incluso el almacenamiento de contraseñas adecuado no es suficiente para detener a determinados delincuentes cibernéticos a veces, lo que significa que comportarse adecuadamente después de una violación de datos se vuelve aún más importante para los proveedores de servicios afectados. Desafortunadamente, parece que las personas a cargo de Quidd no entienden eso.
