Alégrate de las desgracias de los demás: al parecer, OGUsers, un foro dedicado al comercio de cuentas robadas de Instagram, Twitter y otros, ha sido pirateado, se han borrado los discos duros del foro, se ha robado su base de datos de usuarios y se ha publicado en una web rival para que todos los interesados la puedan descargar de forma gratuita.
Como informó Motherboard el año pasado, OGUsers, llamado OGU por sus miembros, es un foro popular entre los piratas informáticos, que se especializan en el secuestro de cuentas de personas, particularmente a través del intercambio de SIM.
Comerciando con nombres de usuario deseables
Lanzado en abril de 2017, el foro es un mercado para la compra y venta de nombres de usuario “OG”. Es la abreviatura de “original gánster” y se refiere a los nombres de usuario que se consideran deseables, ya sea porque son cortos, como @t o @ty, o porque son interesantes, como @Sex o @Eternity, o porque pertenecen a celebridades, como las cuentas de Twitter del cofundador de Wikipedia Jimmy Wales, la comediante Sarah Silverman o la NASA, por nombrar solo algunas.
Según Motherboard, OGUsers intercambiaron cuentas de redes sociales secuestradas, así como de PlayStation Network, Steam, Domino´s Pizza y otras cuentas en línea.
El administrador de OGUsers, conocido como “Ace”, anunció el ataque en una publicación en el foro el 12 de mayo de 2019. Según el periodista de seguridad Brian Krebs, Ace dijo a los miembros del foro que el problema había sido causado por una falla en un disco duro que borró meses de publicaciones en foros privados y puntos de prestigio. Ace asegura que han restaurado una copia de seguridad que data de enero de 2019.
Pero desde entonces hemos descubierto que la interrupción del 12 de mayo coincidió con el robo de la base de datos de usuarios del foro y el borrado de sus discos duros.
Cuatro días después de la publicación de Ace, el administrador de una comunidad de piratas rival, RaidForums, anunció que había subido la base de datos de OGUsers. Ven y bájala, dijo el administrador de RaidForums, Omnipotent, llamando la atención sobre el uso de OGUsers de la función de hashing MD5 que tiene una vulnerabilidad conocida:
El 12 de mayo de 2019 accedimos al foro ogusers.com [y] 112,988 usuarios se vieron afectados. He subido los datos de la base de datos junto con los archivos de origen de su sitio web. Su algoritmo hash fue el MD5 salted por defecto, lo que me sorprendió, de todos modos, el propietario del sitio web ha reconocido la corrupción de los datos, pero no una violación, así que creo que soy el primero en decirte la verdad. Según su declaración, no tenía ninguna copia de seguridad reciente, así que supongo que le proporcionaré una en este hilo lmfao.
Krebs se hizo con la lista robada de miembros de OGUsers. Dijo que parecía contener los nombres de usuario, las direcciones de correo electrónico, las contraseñas cifradas, los mensajes privados y las direcciones IP en el momento del registro de aproximadamente 113,000 usuarios, aunque, según él, es probable que algunos usuarios utilicen varios alias. Motherboard también comprobó la base de datos y descubrió que contenía los correos electrónicos y el código fuente de los usuarios.
Motherboard verificó los datos buscando dos cuentas registradas por sus reporteros.
Los miembros de OGUsers están, comprensiblemente, y para deleite del equilibrio kármico del universo, enfurecidos. Muchos usuarios de OGUsers se han mostrado preocupados por la filtración, mientras que otros afirman que ya han recibido correos electrónicos de suplantación de identidad (phishing), según Krebs.
Algunos están enfadados con Ace y afirman que ha inhabilitado la posibilidad de que los usuarios eliminen sus cuentas. Krebs citó a un usuario que tenía esto que decir en el chat de Discord:
Ace es como:
– no reemplaza los discos duros rotos, lo que hace que el sitio regrese a cuatro meses antes
– no es un sitio web seguro, lo que hace que la información del usuario se filtre
– deshabilita el selfban para que la gente no pueda irse
Motherboard, habló con un miembro de OGUsers que dijo que las ratas están abandonando el barco que se hunde, preocupadas por 1) ser hackeadas y 2) una visita de la ley:
Es como una bomba nuclear lanzada en el sitio. Algunas personas solo usaron OGU pms como su único contacto, por lo que si lo investigas o si eres un agente del FBI, hay mucho que encontrar.
No, no, por favor, no os vayáis, pequeñas ratas, dijo Ace en una publicación. Que se filtre OGUsers es lo mismo que si ocurriera en cualquier otro sitio, escribieron, descuidando la parte sobre que la mayoría de los usuarios son presuntamente ciberdelincuentes:
OGUsers ha estado en línea cerca de 3 años y esta es la primera vez que se produce una infracción. Entiendo la frustración de todos y lamento profundamente que todo esto haya sucedido recientemente. Debes darte cuenta que otros sitios como Twitter, Facebook, Dropbox, foros que has usado en el pasado y muchos más han sido violados al menos una vez. Sufrimos ataques los 365 días del año. Nuevamente, lamento profundamente que esto haya ocurrido y haré todo lo posible para asegurarme de que nunca vuelva a suceder.
Sí, es exactamente como si Twitter, Facebook o Dropbox fueran violados, con la excepción del potencial encarcelamiento para las personas cuya información personal fue expuesta.
Os deseamos buena suerte mientras correteáis, pero no os deseamos ninguna suerte en escapar del largo brazo de la ley, y las víctimas de los secuestros de cuenta sin duda comparten esta actitud.
Aún así, no podemos estar demasiado contentos con los ladrones pegándose unos a otros. El malware es una lacra contra la que Sophos lucha todo el tiempo, por lo que no podemos aplaudir en voz alta, incluso cuando, digamos, un estafador nigeriano se contagia a sí mismo.
Y como dijimos cuando informamos sobre ciberdelincuentes hackeando ciberdelincuentes: si los ciberatacantes pueden ser pirateados, también puede serlo usted, si no tiene cuidado.
¡Así que ten cuidado!
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario