El pasado viernes 4 de enero, distintas personalidades del panorama político alemán recibían una mala noticia, sus direcciones de correo personales, números de teléfono e incluso carnets de identidad, habían sido filtrados a internet por una persona o grupo de personas bajo el pseudónimo @_0rbit a través de Twitter (la cuenta se encuentra actualmente suspendida).
En el presente artículo, analizamos el impacto desde el punto de vista ofensivo y sobre la privacidad de las víctimas que representa esta filtración.
ODS ha tenido acceso a los datos filtrados, esto es lo que puedes encontrar.
El equipo técnico de ODS ha podido analizar los datos filtrados a través de los numerosos “mirrors” o copias de la filtración original. Por motivos éticos, no podemos publicar o referenciar un enlace a la filtración, sin embargo, te resumimos qué puedes encontrar y cuales son las consecuencias de dicha filtración.
- Direcciones de correo electrónico.
- Números de teléfono fijo y móvil así como números de fax.
- Fotografías de la parte delantera y trasera de los documentos de identidad, carnet de conducir y tarjeta de seguro médico.
- Conversaciones de Facebook Messenger.
- Conversaciones y mensajes de correo electrónico.
- Historiales de conversaciones privadas de Twitter.
- Fotos íntimas de los afectados.
Los datos están ordenados en 40 ficheros separados, todos ellos de texto. El más extenso, recopila datos de los integrantes del partido gobernante a día de hoy en Alemania, el CDU, encabezado por la canciller Ángela Merkel.
Se encuentran gran cantidad de pantallazos evidenciando el acceso a las cuentas de correo, facebook, twitter e incluso PayPal de muchos afectados, lo cual indica que se trató de una operación larga y organizada. Por nuestra experiencia en el “mundillo” del hacking, sabemos que organizar y recopilar toda esta información requiere tiempo y coordinación.
Por otra parte, la información se encuentra pobremente formateada, de modo que se requiere un análisis manual (y por supuesto, conocimientos sobre Alemán) para extraer información útil sobre los afectados o para poder elaborar un mapa sobre qué información ha sido accedida.
¿Cómo ha ocurrido?
Según diversas fuentes, la plataforma de e-learning ILIAS utilizada por la academia educativa del Bundestag, hackeada la pasada primavera de 2018, actualmente cerrada y mostrando el siguiente mensaje:
“Queridos estudiantes. La plataforma de aprendizaje ILIAS no está disponible actualmente. Se tomó como precaución en la recomendación de BSI de la red. Gracias por su comprensión.”
BSI son las siglas en alemán del Instituto de Seguridad de la Información Alemán. Se cree que este “hackeo” pueda estar relacionado con la filtración de datos, pudiendo haber obtenido credenciales utilizadas por políticos del Bundestag a través de dicha plataforma.
Si bien resulta complejo determinar exactamente, para cada político afectado, la vía de acceso a sus datos, si podemos asegurar con un alto grado de certeza, que se trata de un conjunto de ataques de ingeniería social, junto con conocimiento de credenciales obtenidas vía otras filtraciones como la conocida BreachCompilation o la plataforma ILIAS.
Para ello, el atacante o grupo de atacantes, debe de haber estudiado ciertos aspectos de cada individuo afectado, lo cual requiere tiempo y esfuerzo.
Reutilización de credenciales: Es el motivo principal que sospechamos permitió al atacante obtener tanta información y acceder a tantos servicios on-line de algunos afectados. Reutilizar contraseñas en diferentes servicios y no utilizar el segundo factor de autenticación, es el vector principal de filtración de información en la mayoría de casos.
¿Qué se puede hacer con, por ejemplo, la fotografía de un documento de identidad y su reverso?
Muchas compañías en internet, como las relacionadas con la prestación de servicios de hosting y dominios, precisan de la verificación de identidad del consumidor para poder comenzar a utilizar el servicio, de modo que se dificulte la utilización con fines fraudulentos del mismo. Para ello, es común que la verificación se realice a través de exigir al consumidor aportar una fotografía de la parte delantera y trasera de su documento de identidad, ¿Pero qué ocurre si utilizas el documento de identidad de otra persona? Pues que resulta completamente válido a ojos del prestador de servicios. Imagina poder levantar un servidor en internet, a nombre de un político Alemán del Bundestag y distribuir a través de dicho servidor contenido ilegal, sin duda, resultaría un problema.
¿Qué implica el acceso a información personal de una víctima?
Cuando hablamos de seguridad de la información, hablamos de tres pilares principales: Integridad, confidencialidad y disponibilidad de la información. Si cualquiera de estos pilares se ve afectado, la seguridad de la información puede considerarse comprometida. En este caso, la integridad y la confidencialidad juegan un papel crucial.
Acceder a, por ejemplo, el correo electrónico de una víctima, permite al atacante leer (se rompe el pilar de la confidencialidad), eliminar (se rompen los pilares de disponibilidad e integridad) y en algunos casos incluso modificar (se rompe el pilar de la integridad) información, de modo que una cuenta comprometida no puede volver a considerarse fiable.
¿Cómo es posible que los datos filtrados sigan circulando por internet? ¿Se puede impedir?
Un mirror, es una copia exacta del contenido original de la filtración, subida a otra plataforma de hospedaje. Cada plataforma genera un link de descarga que permite al usuario descargar dicha información.
El atacante se aseguró de subir el contenido de cada fichero a múltiples sitios diferentes, en ficheros cifrados. Los propios usuarios que descargan el contenido, vuelven a subir el mismo a otras plataformas formando una cadena muy complicada de rastrear. De esta forma, existen en internet cientos y miles de copias del mismo contenido hospedado en cientos o miles de plataformas diferentes, algunas hospedada físicamente en países donde la legislación sobre privacidad e internet es nula o muy poco desarrollada, de modo que resulta prácticamente imposible eliminar el contenido de la red.
¿Cuáles son las consecuencias de todo esto?
Desde el punto de vista técnico, se ponen en entredicho las políticas de seguridad utilizadas en el Bundestag para proteger la información de sus integrantes, así como el propio nivel de conocimiento de cada víctima sobre cómo securizar la información que manejan. No utilizar segundo factor de autenticación así como la reutilización de contraseñas, es un ejemplo claro de desinformación o desinterés por proteger sus datos.
Las normativas sobre seguridad digital impuestas por el GDPR, no afectarían en este caso a las víctimas de la filtración, puesto que no se trata de información sobre clientes sino de ellos mismos. Tampoco afectarían a las instituciones, ya que se trata de información revelada sin previo aviso.
¿Dónde puedo encontrar la filtración?
Probablemente esta sea una de las preguntas más suscitadas en los últimos días. Desde ODS recordamos que compartir o publicar dicha información es ilegal en nuestro país. Sin embargo, existen algunas palabras clave para llegar a encontrar la filtración desde Google y derivados. Palabra clave como “_0rbit” “leak” “mirror” o “4chan” (un portal de compartición de información a modo de “boards”) pueden ser de ayuda para dar con la filtración.
[:]