En un servidor establecido en los Países Bajos, parte de una gran botnet apodada 'Pony', han sido encontrados más de dos millones de nombres de usuario y contraseñas para servicios como Facebook, Google y Twitter.
Los detalles probablemente fueron subidos por una banda criminal, dijeron expertos en seguridad, que agregan que los inicios de sesión capturados pueden provenir de hasta 102 países.
Además de estas tres empresas, en el servidor de la botnet han aparecido los inicios de sesión de LinkedIn y de dos redes sociales rusas, VKontakte y Odnoklassniki. Se sospecha que los datos fueron tomados de ordenadores infectados con un software malicioso que registra las pulsaciones de teclas. No se sabe si son viejos o nuevos estos detalles, pero los expertos advierten que hasta la información anticuada plantea un riesgo.
"No sabemos cuántos de estos detalles todavía funcionan", dijo el investigador de seguridad Graham Cluley a BBC. "Pero sabemos que el 30%-40% de las personas utilizan la misma contraseña en diferentes sitios web. Eso es ciertamente algo que la gente no debe hacer", dijo.
El sitio que contiene las contraseñas fue descubierto por investigadores que trabajan para la empresa de seguridad Trustwave. Según Daniel Chechik, investigador de seguridad de Trustwave, los atacantes están utilizando un proxy inverso o puerta de enlace entre los equipos infectados y el servidor.
"Esta técnica de usar un proxy inverso se usa comunmente por los atacantes para evitar que el servidor de comando y control sean descubiertos y cerrados. El tráfico saliente de un ordenador infectado solo muestra una conexión con el servidor proxy que es fácil de reemplazar en caso de ser descubierto", aclara Chechik.
Del Blog de Eset (los que hacen a NOD32) nos dan más detalles en cuanto a Twitter particularmnete:
Durante el fin de semana la red social de los 140 caracteres reconoció haber sido víctima de un ataque que afectó las cuentas de algunos de sus usuarios. En su blog oficial Twitter anunció que sus sistemas fueron vulnerados viéndose comprometidas cuentas de 250.000 usuarios.
Según la información publicada durante el fin de semana los oficiales de seguridad de Twitter detectaron patrones poco usuales de acceso a las cuentas lo cual dio los indicios de que algo extraño estaba ocurriendo. A partir de esta información los accesos fueron catalogados como no autorizados. A pesar que fueron muchas las cuentas vulneradas, desde la red social afirman que fueron pocos los usuarios que han sido afectados.
Hay que recordar que el año pasado Twitter generó un restablecimiento masivo de contraseñas debido a una posible brecha de seguridad incluso más allá de aquellas que se creían comprometidas.
En esta misma comunicación desde Twitter catalogan el ataque como muy sofisticado y que no parece ser obra de principiantes. Resaltan que ataques como este han sido reportados por otras empresas de Estados Unidos, particularmente medios de comunicación como el Wall Street Journal y el New York Times, quienes atribuyen la responsabilidad de los ataques a sus sistemas a grupos chinos.
Aunque en su comunicado no son claros acerca de como fue llevado a cabo el ataque, hacen la recomendación de desactivar el plugin de Java de los navegadores web.
Cómo medida de prevención desde Twitter inhabilitaron las contraseñas de los usuarios afectados y luego les enviaron mensajes de correo electrónico para que la restablecieran. Cómo medidas adicionales de seguridad, desde la red social invitan a los usuarios a tener contraseñas más seguras y utilizar diferentes contraseñas para los servicios que tengan en Internet.
Fuente: RT / Eset Blog / BBC / Trustwave / WSJ / NYT / ELTECNIQUITO Press
Comentarios