Según The Hacker News, un individuo de origen egipcio habría ingresado de forma no legítima a distintos servidores de una famosa compañía de software. Desde los mencionados servidores, habría robado información de más de 150.000 clientes que contiene información personal.
La información robada contiene datos de correos, así como también nombres de usuarios y contraseñas que involucran a propios empleados de la compañía, clientes y partners de la empresa. Dentro de los últimos, existe información sobre personas de importantes entidades gubernamentales. Específicamente, la información contiene datos sobre el nombre y apellido del cliente, cargo dentro de su compañía, número de teléfono, dirección de correo electrónico, compañía en la que trabaja, nombre de usuario y contraseña por medio de hashing.
Según las propias declaraciones del responsable del robo de información, la intencionalidad de tal acto estuvo lejos de dañar a la compañía. Para fundamentar esa afirmación, hizo público un archivo TXT (texto plano, sin metadatos) donde existe información sólo de los propios empleados y de compañías íntimamente relacionadas con la afectada, no exponiendo información de clientes regulares. A continuación se adjunta una captura donde puede visualizarse parte del archivo:
Según The Hacker News, la motivación del ataque estuvo centrada en demostrar que la compañía atacada no tomaba con la seriedad pertinente a la seguridad, a pesar de su peso y relevancia a nivel mundial dentro de la industria del software. El atacante aseguró que una compañía debería poder solucionar y parchear una vulnerabilidad luego de 5 o 7 días a partir de que fue reportada, afirmando que demoran entre 3 y 4 meses luego de cada reporte.
Si bien todavía no existe una respuesta oficial de la compañía afectada sobre la existencia del ataque, el propio atacante puso a disposición una imagen de un archivo CSV donde pueden visualizarse parte de la información que fue robada. Todo esto concluyó con un comunicado directo proveniente del propio atacante donde informó sobre este suceso y expuso sus argumentos.
No es la primera vez que este tipo de incidentes suceden. Han existido diversos ataques que involucran el robo de información como, por ejemplo, la fuga de información masiva en LinkedIn o el caso de la fuga de información de tarjetas de crédito ocurrido en Marzo de este año.
Desde ESET Latinoamérica, recomendamos la lectura de nuestro post titulado “Ciclo de vida de una vulnerabilidad: consejos para una respuesta eficiente” para poder comprender todo lo referido a una falla de seguridad y el proceso que transcurre hasta la implementación de una solución.
Fernando Catoira
Analista de Seguridad
Actualización: 06:00 p.m. [UTC -03:00 Buenos Aires]: La compañía afectada ha confirmado el compromiso de sus servidores, siendo dicha empresa Adobe. Según las declaraciones de la propia empresa, el compromiso es en los servidores del sitio de Connectusers al igual que en la base de datos. Asimismo, Adobe afirmó que al parecer no existe compromiso en ningún otro servicio. Debido a razones de seguridad, el sitio comprometido fue puesto bajo mantenimiento ya que están reiniciando las contraseñas de los usuarios afectados. Dichos usuarios serán notificados por la compañía para que establezcan nuevas contraseñas. Anteriormente a estas declaraciones, The Hacker News dialogó con el atacante y al parecer pudo utilizar una shell PHP que le permitió acceder a archivos de configuración y obtener las credenciales de la base de datos.
