Spamgate: 1,37 mil millones de registros expuestos – Reacción de la industria

Se ha filtrado la base de datos del grupo de spam River City Media, liderado por los conocidos spammers Alvin Slocombe y Matt Ferrisi. Ayer, se dieron a conocer los detalles de una operación ilegal de spam masiva. La situación presenta una amenaza tangible para la privacidad y la seguridad en línea, ya que involucra una base de datos de 1.400 millones de cuentas de correo electrónico combinadas con nombres, direcciones IP de usuarios e incluso direcciones físicas. Lo más probable es que usted, o al menos alguien que conozca, se vea afectado.
El Gurú se acercó a la industria de la seguridad cibernética para obtener ideas sobre la violación.
Robert Capps, vicepresidente de desarrollo empresarial de Seguridad NuData:
“Es de vital importancia que nos aseguremos de continuar con nuestros esfuerzos para informar al público sobre su seguridad, y el hecho de que 1.400 millones de registros estén comprometidos en esta infracción lo confirma. Por muy desalentador que sea, vimos el Yahoo! incumplimiento el año pasado. En este punto, no deberíamos sorprendernos. Todos podemos asumir que los registros personales se comparten en la web oscura, a veces años después de que ocurre la violación.
“Cualquier violación de la información personal es de extrema importancia y preocupación. Con solo un nombre y una dirección de correo electrónico, los riesgos de suplantación de identidad dirigidos son mayores. Los datos de consumidores robados se pueden combinar con otra información de identificación personal (PII) de otros piratas informáticos y violaciones para acumular perfiles aún más detallados de los usuarios que se comercializan y venden por un alto valor a los piratas informáticos. Estos ‘paquetes’ contienen información mucho más completa y cada vez más peligrosa sobre personas específicas, lo que significa que hay más oportunidades de que se produzca un fraude. Por ejemplo, con suficientes datos recopilados de infracciones separadas, un estafador puede obtener acceso a información financiera y geográfica con la intención de completar una solicitud de préstamo o solicitar una nueva tarjeta de crédito.
“El análisis del comportamiento del usuario puede proporcionar a las víctimas de esta y otras infracciones una capa adicional de protección incluso después de que se ha producido el ataque. Necesitamos detener a estos estafadores de una manera completamente pasiva y no intrusiva para nosotros, los consumidores. Esto se logra aprendiendo con el tiempo cómo un usuario legítimo se comporta realmente en contraste con un posible estafador utilizando nuestra información legítima extraída de todas estas infracciones. Sin siquiera interrumpir la experiencia del usuario, se puede predecir y evitar que ocurra el fraude. La única forma en que vamos a detener estas infracciones es devaluar los datos que persiguen los estafadores, y lo hacemos siendo realmente capaces de identificar la identidad del usuario detrás del dispositivo incluso cuando se utilizan credenciales robadas válidas. «
Paul Calatayud, director de tecnología, FireMon:
“En la reciente filtración de datos del River City Media Ggroup, es posible que se hayan expuesto más de 1.400 millones de registros. No se dice mucha información sobre la causa, pero dado que esto fue encontrado por Chris Vickery, quien a menudo escanea Internet en busca de activos vulnerables de Mongo DB y hace referencia a la falta de uso de contraseñas, se puede concluir que esta fuga de datos es un problema. resultado de una base de datos Mongo mal configurada. El código abierto sigue siendo una fuente fundamental de innovación para muchas organizaciones. En este caso, siendo utilizado para motivaciones no tan nobles, la lección que se debe aprender aquí es que Mongo DB sigue siendo una explotación fácil. Es importante asegurarse de que sus sistemas críticos sean seguros y funcionen según las políticas que pretende. La aplicación de una gestión de seguridad inteligente para validar sus compilaciones, tanto del sistema como de los firewalls, para garantizar que los puertos Mongo DB no estén expuestos evitará este tipo de fugas de datos en el futuro «.
Steve Gates, analista jefe de investigación de inteligencia, NSFOCUS:
«Slowloris, lanzado en 2009, no es más que un script diseñado para consumir lentamente todas las conexiones disponibles en un servidor. Cuando se consumen todas las conexiones, el servidor no puede procesar ninguna conexión nueva; causando una condición de denegación de servicio. Conocido como un ataque de denegación de servicio de “Capa 7”, la forma más efectiva de derrotar a Slowloris es proteger los servidores con tecnología anti-DDoS, que puede detectar y bloquear fácilmente un ataque de Slowloris. Lo interesante aquí es que Slowloris se estaba utilizando para ayudar a distribuir tantos correos electrónicos no deseados como fuera posible; antes de que un servidor de la víctima fallara o cayera todas las conexiones existentes. Una vez más, esta es una demostración de la originalidad y persistencia de los spammers, que nunca deja de sorprender ”.
Chris Doman, investigador de seguridad en AlienVault:
“Esta es una ventana extremadamente rara a las operaciones de campañas de spam masivo. La aparente admisión de RCM de que ejecutaron ataques de denegación de servicio contra los servidores de Gmail para engañarlos para que aceptaran spam es muy grave. Están hablando de arriesgar la estabilidad de algunos de los servidores de correo centrales de Internet con fines de lucro. Es extraño que estas admisiones provengan de registros de chat que RCM filtró accidentalmente.
Si bien la escala de datos potencialmente perdidos por RCM aquí es enorme, es importante tener en cuenta que estos datos no incluyen credenciales ni han sido abusados ​​por nadie más que RCM todavía «.
Matt Walmsley, director de EMEA de Vectra Networks:
“Aunque es difícil compadecerse de los spammers, la desgracia de River City Media es una advertencia para las empresas. Los servidores y bases de datos no seguros son una invitación abierta a los atacantes que pueden usarlos para obtener acceso directo a la información más sensible y los activos importantes de la empresa. Es preocupante que el cinco por ciento de los servidores administrables de IPMI estén «protegidos» por contraseñas predeterminadas de uso común, el 30 por ciento tiene contraseñas fáciles de adivinar y solo el 72 por ciento autentica el acceso. Además, el Reino Unido ocupa el sexto lugar a nivel mundial en cuanto a hosts IPMI expuestos, lo que lo convierte en un objetivo tentador para los piratas informáticos. Como punto de partida, las empresas deben proteger con contraseña sus datos confidenciales, eliminar las contraseñas predeterminadas y cambiar esas contraseñas con regularidad. La aplicación de las políticas de protección por contraseña es esencial «.
Ondrej Kubovič, evangelista de seguridad en ESET:
“Los atacantes utilizaron la técnica Slowloris para enviar spam a millones de víctimas y no es tan infrecuente en la naturaleza, ya que hemos visto ataques similares en nuestros honeypots. Sin embargo, tenga en cuenta que esta es la técnica utilizada por los spammers para enviar grandes cantidades de correos electrónicos no deseados, y no la causa de la filtración.
Cualquier fuga de este tamaño es una situación perdedora. Principalmente para las víctimas, cuyos datos confidenciales están disponibles públicamente y, por lo tanto, pueden utilizarse indebidamente para diversos actos maliciosos. Con solo una breve descripción general de los tipos de datos filtrados, las direcciones físicas y los nombres se pueden utilizar para el robo de identidad. En efecto, la filtración ha demostrado que los operadores de spam eran técnicamente incapaces de almacenar y hacer copias de seguridad de la mayor parte de los datos robados de forma «segura» «.