¿Qué obtienes cuando cruzas una docena de hackers criminales rusos con 420, 000 sitios web con una vulnerabilidad de inyección SQL? Obtiene 4.500 millones de registros de usuarios comprometidos en manos de esos hackers.
El martes, el New York Times informó que Hold Security de Milwaukee, Wisconsin descubrió una base de datos llena de credenciales robadas. Alex Holden, director de seguridad de la información de Hold Security, rastreó la fuente de las credenciales robadas a un pequeño grupo de piratas informáticos de poco más de una docena de hombres de 20 y tantos años, con base en el centro sur de Rusia. Él dobló el grupo "CyberVor".
Holden explicó que la "banda de hackers" consistía en un equipo de hombres jóvenes, cada uno con su propio rol, algunos programas de escritura, otros trabajando para extraer las credenciales de los datos. Todo el equipo funciona como un negocio real.
La pandilla de piratería rusa
Según Holden, CyberVor comenzó en 2011 como un equipo de spammers. El plan de negocios era comprar información de contacto robada en el mercado negro para enviar correos masivos de spam a los clientes. En los años siguientes, el equipo de empresarios criminales creó una red de bots, una red masiva de computadoras infectadas con un virus que les permite ser utilizadas para enviar las explosiones de spam.
Con el tiempo, el equipo utilizó su bot-net para probar qué sitios web eran vulnerables a un ataque de pirateo por inyección SQL. Una vez que se compiló una lista de sitios web, el equipo se puso a trabajar ejecutando el hack en el sitio y extrayendo el contenido completo de la base de datos almacenada allí.
Con acceso a la base de datos, el grupo pudo compilar los 4.500 millones de registros, que resultaron contener un total de 1.200 millones de credenciales únicas de nombre de usuario y contraseña, y 542 millones de direcciones de correo electrónico únicas.
Lo que esto significa
Si crees que puedes salir ileso de esta amenaza de seguridad en particular, piénsalo de nuevo. Teniendo en cuenta que actualmente hay menos de 3 mil millones de usuarios de Internet en el mundo, una violación de 1, 2 mil millones de credenciales únicas de usuario y contraseña representa un éxito récord por parte de los hackers criminales, y también significa que sus credenciales son muy probables en riesgo.
Orla Cox, Directora de Security Response para Symantec, le dijo a NPR que el enfoque más seguro es suponer que sus credenciales están comprometidas.
"Creo que todos los usuarios de Internet deberían suponer que se han visto afectados por esto. Claramente, estos no son oportunistas, no son aficionados. Se trata de delincuentes cibernéticos de tiempo completo que probablemente hayan llevado a cabo durante varios meses, tal vez incluso años ".
¿Cómo sabes si alguna de tus credenciales se ha visto afectada? Lamentablemente, no lo hace, no hasta que Hold Security publique su herramienta en línea que le permitirá probar si su propia información está en la base de datos.
Mientras tanto, Hold Security está aprovechando la brecha mediante la construcción de un conjunto de servicios destinados a ayudar a los propietarios de sitios web y usuarios de Internet a gestionar la amenaza de esta banda de hackers. Esos servicios incluyen lo siguiente:
- Breach Notification Service (BNS): le avisa si su sitio se ha visto afectado por esta infracción o cualquier otra violación de la seguridad. Costo: $ 120 / año
- Servicios de prueba y auditoría de la pluma: auditará su sitio y encontrará cualquier vulnerabilidad. Sin precio en la lista.
- Servicio de integridad de credenciales: le notifica si alguno de los usuarios de su sitio web ha tenido credenciales comprometidas. Sin precio en la lista.
- Servicio de Monitoreo Electrónico de Identidad - Significa para las personas que desean saber si su identidad electrónica es vulnerable o comprometida. La preinscripción está disponible, ya que el servicio está en desarrollo.
Lo que debes hacer
Por supuesto, el enfoque más económico para escribir un cheque en Hold Security para avisarle si se ha visto afectado es simplemente cambiar todas sus contraseñas. Si bien esto puede ser molesto de hacer, tan cerca del fiasco Heartbleed hace unos meses Heartbleed: ¿qué puedes hacer para mantenerte a salvo? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Lea más, es realmente la única apuesta segura que tiene para proteger sus cuentas. El problema, por supuesto, es que no se puede hacer eso hasta que sepas que los sitios web que usas no son vulnerables a la Inyección SQL.
Si desea determinar si los sitios web que utiliza para acceder a sus cuentas son seguros o no, necesitará una forma de saber si están a salvo de los ataques de inyección de SQL, el arma preferida de esta banda de hackers rusos en particular.
Afortunadamente, es bastante fácil verificar si un sitio es vulnerable a ese truco en particular. Todo lo que necesita hacer es encontrar una página en el sitio que se cargue dinámicamente desde la base de datos back-end. Esto es bastante fácil con un sitio basado en PHP buscando URL estructuradas con la consulta, como esta: "http://www.website.com/page.php?id=32"
Una prueba rápida para la vulnerabilidad de Inyección SQL agrega una comilla simple al final de la línea. Si la página web todavía se carga bien, entonces el sitio está a salvo de este ataque. Si devuelve un error de "error de consulta SQL", entonces el sitio es vulnerable, y debe suponer que sus datos que están almacenados allí se han visto comprometidos.
Al agregar ' a la URL, está probando si puede agregar parámetros SQL adicionales para activar un comando SQL más invasivo.
Si descubre que el sitio web es seguro, continúe y cambie sus contraseñas allí. Si ve que todavía es vulnerable a un ataque de Inyección SQL, evite cambiar sus credenciales y, en su lugar, póngase en contacto con el propietario del sitio web e infórmeles de la vulnerabilidad.
Mientras estás en eso ...
Mientras navega y cambia sus contraseñas en todos los sitios seguros, tenga en cuenta las siguientes pautas.
- ¿Tu contraseña es realmente única y fuerte? Asegúrese de revisar nuestros muchos artículos con sugerencias de generación de contraseñas 7 Formas de recuperar contraseñas que son tanto seguras como memorables 7 maneras de recuperar contraseñas que son tanto seguras como memorables Tener una contraseña diferente para cada servicio es imprescindible en el mundo en línea de hoy, pero hay una terrible debilidad en las contraseñas generadas aleatoriamente: es imposible recordarlas todas. Pero ¿cómo puedes recordar ... Leer más.
- Utilice un administrador de contraseñas Use una estrategia de administración de contraseñas para simplificar su vida Use una estrategia de administración de contraseñas para simplificar su vida Gran parte de los consejos sobre contraseñas ha sido casi imposible de seguir: use una contraseña segura que contenga números, letras y caracteres especiales; cambiarlo regularmente; proponga una contraseña completamente única para cada cuenta, etc. Lea más y asegúrese de que su contraseña sea diferente para cada sitio que use. Intente utilizar un generador de contraseñas. 5 Generadores de contraseñas gratis para contraseñas casi imposibles de descifrar. 5 Generadores de contraseñas gratuitas para contraseñas casi imposibles de descifrar. Lea más para cada sitio.
- Repito: ¡use una contraseña única para cada sitio!
Más allá de la administración de contraseñas, hay otro enfoque creativo que le permite "regresar" a los hackers. Esto implica asegurarse de que todas sus cuentas en línea contengan información falsa: direcciones falsas, números de teléfono y direcciones de correo electrónico. De esta manera, cada vez que ocurre este tipo de violación, puede simplemente reírse de ella, porque toda la información de contacto personal, especialmente el correo electrónico que generalmente se elimina con el fin de enviar correo no deseado, es un completo fracaso para el pirata informático.
Obviamente, ese enfoque no funcionaría para un sitio financiero que normalmente requiere una identificación confirmada, pero uno esperaría que los sitios web financieros estén lo suficientemente avanzados para estar más allá de la seguridad de algo como un hack de SQL Injection.
A la luz del tamaño y alcance de este último ataque, ¿le preocupa su información privada ? ¿Tienes algún plan para lidiar con eso? ¡Comparte tus pensamientos en la sección de comentarios a continuación!
Fuente: New York Times
Créditos de las imágenes: Hombre invisible Via Shutterstock, kentoh / Shutterstock