Cuando barrer debajo de la alfombra hace arder la alfombra

Empecemos por el peso, que es lo que le da a cualquier titular el brillo necesario para que destaque entre los otros cientos de titulares que el lector medio verá discurrir por su pantalla y pujan por su atención. 13 millones y medio de contraseñas, nombres, direcciones IP y otros datos. ¿Qué tal está eso? Nada mal. Pero si los comparamos a los 152 millones del Adobazose queda corto.

La historia comienza cuando a Troy Hunt (@troyhunt), reconocido MVP de Microsoft y creador del servicio Have I been pwned? (haveibeenpwned.com) (metes tu email y te dice si anda por ahí metido en alguna lista de datos robados (o extraídos de algún sitio hackeado)), le contactan de manera anónima y le sueltan una información a cambio de nada: “Oye Troy, que se de un hacker que entró a 000webhost y está por ahí vendiendo una lista de cuentas, etc.“. De esto hace cinco meses, en mayo de este año.

Tal y como Troy comenta en su propio blog, se ve en la tesitura de publicar o meter en la base de datos de su servicio información que todavía no se ha publicado o no ha sido noticia. Así que a menos que la información se haya hecho pública (entendemos por pública que la lista puede ser obtenida por algún método que no requiera el pago ilegal de la misma; receptación), Troy no va a publicarla. Evidentemente podemos imaginar que le ha podido llover alguna que otra propuesta de venta de primicia en datos robados.

¿Alguien dijo seguridad?

No fue el caso. No le pidió dinero. Ignoramos esa parte pero la lista terminó en el disco duro de Troy sin ningún tipo de mercadeo. Allí estaban alojados, 13 millones de cuentas con sus respectivas contraseñas en texto plano. Dando una vuelta por el servicio de 000webhostya pudo observar algunas características que no auguraban nada bueno. Formularios de acceso enviados sin cifrar, correos donde se muestra la contraseña que acabamos de cambiar, versiones obsoletas, URLs con la contraseña adosada, etc. Quedó bastante claro que las prácticas de seguridad más básicas no eran muy apreciadas por los desarrolladores.

Hasta aquí queda bastante claro que el sitio tenía bastante probabilidad de ser objeto de un ataque. ¿Qué haces cuando tienes una lista de 13 millones de cuentas y ves que el sitio es altamente vulnerable?

Lo que comenta Troy a continuación es un símil bastante parecido a los que todos hemos sufrido cuando intentamos reclamar algo por teléfono. Una infraestructura orquestada y diseñada por una mente malévola con el único objeto de que el cliente (o víctima) termine la llamada fruto de la desesperación o traspase la frontera hacia el valle de la locura. Un autentico laberinto por el que creerás alcanzar la salida y cuando llegues a la puerta reconocerás el mismo lugar por el que pasaste otras tres veces. Resumiendo: se pasó días enteros rebotando de formulario en formulario sin que nadie le hiciera caso.

Al final la cosa derivó al terreno público y Troy buscó a usuarios de 000webhost vía Twitter. No tardó en saltar el resorte. Algunos usuarios se interesaron por el llamamiento y quedó claro lo que estaba pasando. Incluso un periodista del Forbes, Thomas Fox-Brewster, tomó nota del asunto e investigó hasta dar con una cuenta de Facebook donde parece que tocó hueso al comentar que estaba tratando de contactar con un responsable. Eso prendió fuego a la mecha.

Al final, sin previo aviso, resetearon las cuentas. Cientos de usuarios se quejaron de no tener acceso al servicio porque sus cuentas parecían bloqueadas. Un escueto mensaje dirigido al usuario: 

“…Debido a una verificación de seguridad de la plataforma y de su propia seguridad, el acceso al FTP de su cuenta ha sido deshabilitado hasta el 10 de noviembre de 2015…“.
Nada más.

Nos quedamos con Fox-Brewester. No terminaron las sorpresas. Cuando por fin pudo contactar con Alec, “alguien” de la compañía, (le dieron un nombre de pila, se negaron incluso a sumarle un apellido) este no dio otro mensaje que el de confirmación del corte de acceso FTP y de que “responderían” pero que no estaban preparados para hacer comentarios en este momento.

¡Por fin!

La presión mediática que se les venía encima hizo el resto. Los responsables de la compañía matriz de 000webhost publicaron una entrada en Facebook donde, ahora sí, admitían el ataque, el robo de los datos e incluso una breve explicación de lo ocurrido. Tarde. Las respuestas de sus clientes, de pago y gratuitos, quemaron en muy poco tiempo las vanas esperanzas que depositaron en el descafeinado ejercicio de transparencia. Quejas, borrado de comentarios, más quejas.

Sobre el cómo del ataque no merece más detalle que dos líneas: PHP, versión obsoleta y subida de una shell.

La dejadez que imperaba en el servicio se evidenciaba por la clara ausencia del elemento más común y básico de cualquiera infraestructura en informática: el puñetero cifrado de la información, tanto en tránsito como en reposo.

En segundo lugar, si alguien te dice que se te está quemando la casa, como mínimo, presta un gramo de atención.

Y en tercer y último lugar. Esto es Internet. La probabilidad de comprensión de tus clientes en un incidente así es inversamente proporcional a tu empeño por esconderlo elevado al tiempo que pases por no admitirlo.

una-al-dia (05/11/2013) Adobe, la tormenta después de la tormenta