El actor de amenazas detrás de la reciente filtración de datos de
Dell reveló que extrajeron información de 49 millones de registros de clientes utilizando una API de portal de socios
a la que accedieron como una empresa falsa.
Esta filtración de datos contenía datos de pedidos de clientes, incluida
información de garantía, etiquetas de servicio, nombres de clientes,
ubicaciones de instalación, números de clientes y números de pedidos.
Un actor de amenazas conocido como Menelik puso los datos a la venta en el
foro Breached el 28 de abril, y los moderadores pronto eliminaron la
publicación.
Menelik dijo
que pudieron robar los datos después de descubrir un portal para socios,
revendedores y minoristas que podría usarse para buscar información de
pedidos. Menelik dice que pudo acceder al portal registrando varias cuentas
con nombres de empresas falsos y que tuvo acceso en dos días sin verificación.
«Es muy fácil registrarse como socio. Sólo hay que rellenar un formulario de
solicitud», dijo Menelik a BleepingComputer.
«Ingresas los detalles de la empresa, el motivo por el que deseas
convertirte en socio, y luego simplemente te aprueban y te dan acceso a este
portal «autorizado». Acabo de crear mis propias cuentas de esta manera. Todo
el proceso demora entre 24 y 48 horas».
Una vez que obtuvieron acceso al portal, Menelik dijo que habían creado un
programa que generaba etiquetas de servicio de 7 dígitos y las enviaba a la
página del portal a partir de marzo para extraer la información devuelta.
Como, según se informa, el portal no incluía ninguna limitación de velocidad,
el actor de amenazas afirma que podría recopilar la información de 49 millones
de registros de clientes generando 5.000 solicitudes por minuto durante tres
semanas, sin que Dell bloqueara los intentos.
Menelik dice que los registros de clientes robados incluyen el siguiente
desglose del hardware:
- Monitores: 22.406.133
- Portátiles Alienware: 447,315
- Chromebooks: 198.713
- Cuadernos Inspiron: 11.257.567
- Computadoras de escritorio Inspiron: 1,731,767
- Computadoras portátiles Latitude: 4,130,510
- Optiplex: 5.177.626
- Poweredge: 783,575
- Computadoras de escritorio de precisión: 798,018
- Portátiles de precisión: 486.244
- Cuadernos Vostro: 148.087
- Computadoras de escritorio Vostro: 37,427
- Cuadernos XPS: 1.045.302
- Computadoras de escritorio XPS/Alienware: 399,695
Los actores de amenazas dijeron que enviaron correos electrónicos a Dell el 12
y 14 de abril para informar el error a su equipo de seguridad. Sin embargo, el
actor de amenazas admitió que recopiló 49 millones de registros antes de
contactar a la empresa.
El actor de amenazas dice que Dell nunca respondió a los correos electrónicos
y no solucionó el error hasta aproximadamente dos semanas después,
aproximadamente cuando los datos robados se pusieron a la venta por primera
vez en el foro.
Vulnerabilidades en las APIs
TechCrunch informó
por primera vez sobre el uso de esta API por parte de Menelik para extraer
datos de los clientes de Dell. Las API de fácil acceso se han convertido en
una gran debilidad para las empresas en los últimos años, y los actores de
amenazas abusan de ellas para extraer datos confidenciales y venderlos a otros
actores de amenazas.
En 2021, los
actores de amenazas abusaron de un error de la API de Facebook
para vincular números de teléfono a más de 500 millones de cuentas. Estos
datos se filtraron casi de forma gratuita en un foro, y solo se requirió una
cuenta y pagar $2 para descargarlos.
Más tarde ese año, en diciembre,
los actores de amenazas explotaron un error en la API de Twitter
para vincular millones de números de teléfono y direcciones de correo
electrónico a cuentas de Twitter, que luego se vendieron en foros de
piratería.
Más recientemente, el año pasado se aprovechó
una falla en la API de Trello
para vincular una dirección de correo electrónico a 15 millones de cuentas,
que, una vez más, se pusieron a la venta en un foro. Posteriormente, los datos
se compartieron con Have I Been Pwned para enviar notificaciones a aquellos
expuestos en la infracción.
Si bien todos estos incidentes involucraron extracción de datos, se
permitieron debido a la facilidad de acceso a las API y la falta de una
limitación de velocidad adecuada para la cantidad de solicitudes que se pueden
realizar por segundo desde el mismo servidor.
Fuente: DailyDarkWeb | BleepingComputer | TechCrunch
Los comentarios están cerrados.