Twilio ha negado en una declaración que haya sufrido una vulneración de
seguridad
después de que un
actor de amenazas afirmara tener más de 89 millones de registros de
usuarios de Steam
con códigos de acceso de un solo uso.
Hace pocos días, la cuenta
Underdark AI publicó en LinkedIn
que datos de más de 89 millones de cuentas de Steam (básicamente un tercio del
total) habían sido expuestos, pero que no se trataba de una violación directa
de los servidores de Valve, sino a un
posible proveedor de servicios de SMS, similar a lo ya ha sucedido en el pasado con Telefónica y/o Movistar y
otras empresas locales.
En la publicación original, Underdark AI afirma haber encontrado una
publicación de alguien llamado «Machine1337» en un foro de mercado
negro de buena reputación, que ofrece vender 89 millones de datos de cuentas
de Steam por 5000 dólares.
.jpg)
Esto planteó la pregunta: ¿cómo se produjo la filtración? Al momento de
escribir esto, no parece que la gente lo sepa realmente. El primer punto de
contacto fue la propia Valve, pero esa no parecía ser la fuente.
Inicialmente se acusó a Twilio, afirmando que esta gestiona los sistemas de
doble factor (o autenticación de dos factores, llamado 2FA) de Steam y que la
filtración se produjo desde dentro de sus sistemas, pero Valve Corporation y
afirmó que nunca había usado Twilio.
Twilio es una empresa de comunicaciones en la nube que proporciona una API
para el envío de SMS, llamadas de voz y mensajes de doble factor (2FA),
ampliamente utilizadas por aplicaciones para la autenticación de usuarios,
pero Valve dejó en claro que no utiliza Twilio. «No hay pruebas que sugieran que Twilio haya sido vulnerado. Hemos revisado una muestra de los datos encontrados en línea y no vemos
indicios de que estos datos se hayan obtenido de Twilio.»
Al analizar los datos, una posible explicación de su origen es una filtración
de un proveedor de SMS que intermedia la comunicación de códigos de acceso de
un solo uso entre usuarios de Twilio y Steam. Algunos de los mensajes
entregados son claramente códigos de confirmación para acceder a una cuenta de
Steam o para asociar un número de teléfono a una.
Al margen de que no se pudo comprobar del todo si la información proviene de
un proveedor de SMS, cabe mencionar que algunos de los datos son relativamente
nuevos, ya que se descubrió que muchas de las fechas de entrega datan de
principios de marzo.
La investigación lógicamente continuará y tarde o temprano se sabrá si el robo
89 millones de cuentas de Steam es efectivamente real, o no.
Ante la duda, cambiar el password no está de más si no lo han hecho
recientemente.
Coinbase sufre una filtración de datos tras el soborno a trabajadores de
soporte subcontratados
Coinbase, la plataforma de intercambio de criptomonedas con más de 100
millones de usuarios, ha revelado que un grupo de atacantes sobornó a
empleados de soporte externos y obtuvo información personal de aproximadamente
el 1% de sus clientes. Los delincuentes intentaron extorsionar a la compañía
exigiendo 20 millones de dólares a cambio de no publicar los datos, y el
incidente podría costar a la empresa entre 180 y 400 millones en
compensaciones y medidas de contención.
El vector de ataque no fue un exploit sofisticado, sino el clásico, y a menudo
subestimado, riesgo interno. Los criminales localizaron a varios agentes de
atención al cliente subcontratados en el extranjero (según las primeras
pesquisas, en India) y les ofrecieron dinero a cambio de sus credenciales o de
que realizasen consultas directas sobre la base de datos de Coinbase. Con ese
acceso, los insiders copiaron registros alojados en las herramientas internas
de soporte.
Los datos robados incluyen nombre, dirección, teléfono, correo electrónico,
los últimos cuatro dígitos del SSN, números de cuenta bancarios parcialmente
enmascarados, imágenes de documentos de identidad y un historial resumido de
transacciones. No se vieron comprometidas las claves privadas, las contraseñas
ni los monederos de los clientes, pero la información filtrada es suficiente
para lanzar campañas de suplantación (phishing / vishing) extremadamente
creíbles.
Tras detectar accesos anómalos, Coinbase despidió a los implicados, notificó a
la SEC y rechazó pagar el rescate. La empresa prevé destinar hasta 400
millones de dólares para reembolsar a usuarios que puedan caer en futuras
estafas y para reforzar la detección de amenazas internas. Entre las medidas
anunciadas figuran la apertura de un nuevo centro de soporte en EE. UU., la
implantación obligatoria de 2FA y la función de «withdrawal allow-list» para
cuentas con mayor riesgo.