FayerWayer: Publicación de información privada

Publicado el 11-7-2009 a las 17:29 por Juan Francisco Diez

Como ya se habrán enterado, durante la madrugada de hoy, delincuentes publicaron información privada y sensible a la operación de FayerWayer. En vista de esto, todos los sitios de Betazeta fueron desconectados hasta asegurarnos que la seguridad de estos no estuviese comprometida. El siguiente, es un mensaje de nuestro equipo de TI.

El ataque que recibimos tiene una morfología bastante clara, corresponde a un ataque de recopilación de información privada habiendo vulnerado las credenciales a una cuenta de acceso personal de uno de nuestros miembros. Con la información obtenida en esa cuenta lograron acceder a un repositorio privado de contraseñas que dejaron de ser utilizadas en enero de 2009.

Mediante los datos anteriores lograron acceder a un antiguo servidor de produccion lugar en el cual alcanzo a estar contenida la aplicación Beta ID, una vez dentro de este servidor el atacante realizo una copia del código fuente de la aplicación Beta ID, ademas de lograr obtener un dump de las credenciales cifradas (SHA256) de los usuarios. Luego mediante un ataque de colission hash lograron desencriptar algunas de las contraseñas criptograficamente más débiles basándose en diccionarios.

Adicionalmente a esto lograron acceder a los paneles de administración de uno de nuestras comunidades (FayerWayer) lugar desde el donde fue publicado un articulo en el CMS Wordpress dejando a disposición del publico general toda la información rescatada desde las cuentas personales que fueron accedidas de forma no autorizada previamente.

De momento y mientras dure el proceso de investigación descartamos el acceso no autorizado a nuestra infraestructura actual de servidores, así como también el robo o perdida de información de nuestros usuarios de las comunidades.

Tomaremos todas las medidas para evitar que una situación anómala como la acontecida vuelva a ocurrir, tenemos planeadas medidas como la utilización de certificados digitales para la autentificación, políticas de cambio de contraseñas periódicas para todas nuestras comunidades y mejorar nuestros procedimientos de acceso a información privada por parte de los integrantes de nuestra compañia.

Rogamos a nuestros usuarios de la aplicación Beta ID con fecha de registro menor al 19 de Enero de 2009 como medida preventiva cambiar sus contraseñas , dada la posibilidad de que se encuentren comprometidas.

También sugerimos a los usuarios de CHW (foro) realizar un cambio de contraseña de sus cuentas, también como medidas preventivas.

Aprovechamos de dar las gracias a la comunidad por apoyarnos durante todas estas horas y al gran trabajo que muchos hicieron ayudándonos a recuperar las cuentas de servicios anexos. ¡Gracias!

Publicado por Juan Francisco Diez el 11 de July 2009 en la categoría Off-Topic con los tags crack, Delicuencia, FayerWayer HQ, Seguridad. Tiene 256 comentarios.

256 Comentarios

FayerWayer: Publicación de información privada

Deja tu Comentario ↓

Desaprobar Aprobar 16Alex dijo el 11-7-2009 a las 19:23:

Editores de FayerWater quiero un informe completo sobre que información nuestra estuvo expuesta!

Es bueno verlos de vuelta. Y a los idiotas que crackearon el sitio: PUDRANSE!

Desaprobar Aprobar -4Chilotex dijo el 11-7-2009 a las 19:26:

lo mas importante de caer es saber pararse

anime betazeta

sin ustedes mis ancias de saber de lo tecnologico no podrian ser saciadas

sigan adelante^-^

Desaprobar Aprobar -10san_peteste dijo el 11-7-2009 a las 19:28:

oye que no son hackers son webones, a que no me crakean a mi con sus herramientas descargadas de http://www.yo.quiero.ser.un.hacker.importante.com, cracker y Fayerwayer diciendo que fueron hacker como pa hacerlo mas importantes acepten que un webon craker los crakeo y no digan que fueron hackers ni que fueran el pentagono o la nasa.

Desaprobar Aprobar 10neolandes dijo el 11-7-2009 a las 19:30:

hay cada weon sin vida.

Desaprobar Aprobar 28uff dijo el 11-7-2009 a las 19:34:

yo creo que lo primero que tienen que hacer es cambiar la direccion del admin del wordpress aun no entiendo como tienen el tipico http://www.fayerwayer.com/wp-admin

Desaprobar Aprobar 25Esto quieren+saber? dijo el 11-7-2009 a las 19:36:

Tengo el post completo dejado por los cabros que los hackearon, segun ellos uds. tuvieron un vacio de seguridad bien importante teniendo contraseñas fáciles de deducir…

¿Como es posible betazeta networks?

Por un lado encuentro reprochable que los hayan hackeado, pero por otra, como no aprenden del ataque anterior que tuvieron y no cambian las contraseñas, djando expuestos a sus usuarios para que cualquier cracker venga y sea capaz de botar toda una red.

Afronten las consecuencias de tener una mala seguridad, como los mismos caros dijieron en su post

Desaprobar Aprobar 11oscar dijo el 11-7-2009 a las 19:37:

Otra vez??

Desaprobar Aprobar -7roro dijo el 11-7-2009 a las 19:38:

para mi q la cuenta por donde todo empezo fue del imbecil de mr srek

Desaprobar Aprobar 3ronson dijo el 11-7-2009 a las 19:41:

si igual fu un owen

Desaprobar Aprobar 35Esto quieren+saber? dijo el 11-7-2009 a las 19:42:

100

]====== 0×02 ======[ Vulnerabilities
/*
* So you can ask yourself, how can this be? Easy: if you set a weak
* password you have a weak security, if you store all your accounts in your mail
* you hace a weak security.
* -> JF aka JF10 aka Juan Francisco Diez has a 9 int long password, easy enought to
* been brute forced.
* -> Leo aka Leo Prieto has a 5 char + 3 int password (dictionary password).
* And so on... these dudes really don't know shit about security and lucky for us
* theirs servers were totally open for us (open legs?).
*/

-------------------------------------------------------------------------------
]====== 0×03 ======[ Intrussion
/* Hey ho, lets GO! */

(=| proof-of-concept |=)
/* First get get the silliest password ever from our very best friend JF on any of
* the services he uses: twitter, wordpress, etc.. (yes… really silly but he uses
* the same password for everything!):

Desaprobar Aprobar 29Esto quieren+saber? dijo el 11-7-2009 a las 19:43:

101

]====== 0×06 ======[ Extras
/* Do you remember when CHW was erradicated?
* Oh wait. Remember bootlog too?
* — That’s was the OPPORTUNITY which BetaZeta has to set a REAL security-policy

Desaprobar Aprobar 3KiLtRo_ dijo el 11-7-2009 a las 19:43:

102

ehhh…

las politicas de seguridad, se aprenden como en segundo semestre.

Matriculense señores, o dejenle la pega a gente con conocimientos, y no le corten las manos, por que les incomoda estar cambiando la clave a cada rato.

La pass de JF10 a de ser GOD xD

Desaprobar Aprobar 26Eleazar dijo el 11-7-2009 a las 19:43:

103

¿Por qué el comentario de l44_l44 no se pone verde? Clasistas! XD

Desaprobar Aprobar -7lordonbest dijo el 11-7-2009 a las 19:46:

104

y me imagino que el que hizo que este sitio estuviera offline por horas estará paseando viendo los cometarios de este post y diciendo soy famoso. Qué ironia!

Desaprobar Aprobar 27agua_light dijo el 11-7-2009 a las 19:46:

105

y asi quieren que nos hagamos BetaID… nica!

Desaprobar Aprobar -3Mango! dijo el 11-7-2009 a las 19:47:

106

Un post atras tiene razon, si l44_l44 (La-La). Dice tener etica y ser “sombrero blanco” , entonces porque no envio un mail avisando de listado de fallas de seguridad a la red BetaZeta, y no levantasrse la raja creyendose y levantando su ego con avisar a bombos y platillos a toda la comunidad????? Para que complican la vida ???

Ta bien k digas k JF10 es un kebrao, pero no tenias pa k irrumpir haciendo estragos pa avisar eso y lo otro.

Salu2!

Desaprobar Aprobar 4The Cellular dijo el 11-7-2009 a las 19:49:

107

Me parece bién que hayan solucionado este problema que es frecuente que personas traten de hacer esta situación, lo que sí deben tener un poco más de precaución a futuro, de todas formas, me alegra que estén nuevamente de vuelta y espero que no sufran nuevamente este terrible ataque…

Desaprobar Aprobar 9Esto quieren+saber? dijo el 11-7-2009 a las 19:50:

108

No entiendo como les pueden tirar flores los usuarios que son un buen sitio, si ejaron toda su información expuesta (como ellos mismos dijieron de piernas abiertas) de muchos usuarios, facilmente ahora puedo llegar y conectarme con cualquier BetaID y dejar la cagada por ahí, por respeto obviamente no lo haré epro no quita que muchas personas vió su info e info de otras personas durante un tiempo prolongado.

Si tuvieron tiempo para prepararse, ¿por que no invierten en seguridad? No le bajen el perfil a la situacion porfavor

Desaprobar Aprobar 1particleSwarm dijo el 11-7-2009 a las 19:54:

109

En el aviso del defacement, si los tipos no hubieran publicado las passwords de twitter, gmail, etc, aún no las tendrian. Lo otro, el codigo de Beta ID fue publicado y ahora puede ser libremente analizado y vulnerado por cualquier patan con minimos conocimientos de PHP. Considerando esto, de que forma se puede asegurar a la comunidad que se descarta el acceso no autorizado a los servidores? Personalmente si tuviese la necesidad de crear una cuenta OpenID lo haria a traves de otro proveedor y no Beta ID.
Con respecto al anuncio del admin: los hash no se “desencriptan”. Debido a que los algoritmos de hashing son no reversibles y no se puede obtener el plaintext original a partir de un hash. Lo que se menciona despues es correcto.

Desaprobar Aprobar 0particleSwarm dijo el 11-7-2009 a las 19:58:

110

Esto es la demostracion de que los tipos que hicieron el defacement son tan solo unos script kiddies:
“Leo aka Leo Prieto has a 5 char + 3 int password (dictionary password).”

Tecnicamente son 3 digitos, no 3 enteros. Eso lo sabe cualquier pelmazo despues de pasar segundo basico.
Una forma mas resumida de decirlo es que tenia un password alfanumerico con una password basada una palabra de diccionario y tres numeros sucesivos.

Desaprobar Aprobar 86Gabriel dijo el 11-7-2009 a las 19:59:

111

pass de Leo: GOD
pass de Chips: SEX
pass de JP10: IAMPERFECT

jajajaja…

Me van a tapar de thumbsdown pero el sr. hacker tiene razón, mucha soberbia, poca autocrítica.

Si te hackean una vez, pasa… pero si te hackean 2 o 3 ya es descuido.

FW es un sitio con mucho tráfico, muchas visitas, mucha plata corre gracias al blog y -por cierto- también muchas malas vibras… o sea, son demasiadas razones para invertir en seguridad y me extraña que no lo hagan. Asi que en vez de gastarse la plata en tonteras mejor inviertan.

Xau

(”los inversionistas no les creyeron…” que fuerte eso, pero no me extrañaría, hace tiempo que la calidad no forma parte de su modelo de negocio)

Desaprobar Aprobar 24marce dijo el 11-7-2009 a las 20:03:

112

si es wea debiera llamarse FUCKERWAYER, jajaja se los mandaron a guardar los teletubbies

Desaprobar Aprobar -21victor dijo el 11-7-2009 a las 20:04:

113

aguante fayerwayer!!!!!!!!larga vida!!!!!!!!!!!

Desaprobar Aprobar 2Patriccio Lamborghini dijo el 11-7-2009 a las 20:05:

114

si saben todo eso que hicieron estos tipos … porque no tomaron medidas preventivas??

este es como el 3ro o 5to ataque que conozco desde que los sigo ….

Desaprobar Aprobar -5rodolfox_inc dijo el 11-7-2009 a las 20:07:

115

no se supone que pa eso inventaron la weaita de poner lo que dice la imagen???? xq no lo aplican

Desaprobar Aprobar -13Joaquín dijo el 11-7-2009 a las 20:14:

116

Los extrañe, uff que me asuste, casi me quedo sin mi dosis diaria de tecnologia

Desaprobar Aprobar 44Jorge dijo el 11-7-2009 a las 20:15:

117

Qué bueno que les pasó a uds.
No son tan buenos para criticar al resto en medidas de seguridad…
Ahí tienen de su propia medicina

Desaprobar Aprobar 5Ignacio dijo el 11-7-2009 a las 20:19:

118

Hay algo que no me calza es que dicen que mediante ataques de colisiones a SHA lograron obtener la contraseña, eso es imposible ya que hay muy poco casos de gente que pudo hacer eso en SHA y no de la magnitud que fue a BETAZETA, además el ataque de colisiones en palabras simples se trata que dos palabras dan el mismo hash. Por lo cual no creo que haya sido posible publicar las contraseñas de los usuarios. Ojala puedan identificar los que le sucedió y encontrar a los culpables es muy bueno verlos de vuelta.

Desaprobar Aprobar -6Lucas Tañeda dijo el 11-7-2009 a las 20:20:

119

Si les digo una cosa; todos los sitios son atacados alguna vez, cuando trabajé en un ISP, todos los archivos index.html, index.htm, fueron reemplazados por una pagina web que daba el nombre del weon que jaqueó; y lo solucionamos poniéndole extensión .shtml; estos pinches weones nadamas la cagan; piches cabrones disqke jaquers……….

Desaprobar Aprobar 18Muno dijo el 11-7-2009 a las 20:21:

120

Para los que dicen que l44_l44 hubiera mandado un correo o informado de alguna forma…

“”Fueron dos advertencias en anteriores en CHW primero publicar muchos lista de usuarios con sus contrasenas, luego borrar de informacion de los servidores (low level) Muchos meses llevamos con accesso en los servidores emails, twitter, etc. Todo lo que dice sobre las contrasenas encriptadas es falso, LeoPrieto nunca usa encriptacion pgp en sus mensajes y usa la mimsa password en todo, como JF.”"”

Que no saben leer o van en segundo medio y todavia no les enseñan la importancia de la comprension de lectura.