Debido a un ataque de fuerza bruta obtuvieron una de nuestras claves y comprometieron la seguridad del WordPress de FayerWayer. La seguridad de los servidores no está comprometida, fue únicamente a la aplicación de Administración de Contenido (CMS). Estamos haciendo un análisis de seguridad de toda la red de sitios antes de reinstaurar el servicio. Gracias a todos por su apoyo y comprensión.

A medianoche del viernes fue publicada en la portada de FayerWayer un mensaje escrito enteramente en inglés (con variadas faltas ortográficas y gramaticales), anunciando que Betazeta había sido hackeado. En el documento declaraban que mediante fuerza bruta habían obtenido las claves de publicación en FayerWayer de Juan Francisco Diez (JF10) y la mía personal. Adicionalmente declaraban la manera en que supuestamente, gracias a esa información, habían obtenido acceso a otros servidores y listaban los nombres de usuario y claves de publicación de los editores de FayerWayer y Wayerless. Listaban también una serie de claves de acceso a servidores nuestros y de empresas relacionadas a la nuestra, incluyendo un listado de 100 nombres de usuario y claves de Beta ID. Finalmente, también publicaban cuentas de acceso y claves para nuestras cuentas de Twitter, algo que no está disponible en nuestros servidores. Sin embargo mucha de la información entregada, que suponía ser actual, en realidad era información con al menos 5 meses de antigüedad.

Los supuestos “hackers” (aunque el término preciso sería crackers), en realidad nunca obtuvieron acceso a los servidores de Betazeta. Al menos no a los servidores actuales. Incluso muchos de los servidores que mencionan, son servidores de desarrollo que están en desuso hace más de un año o ya no existen. Incluso la clave mía que declaraban haber obtenido desde el WordPress de FayerWayer, no es la clave que utilizo para ingresar a la aplicación.

Habiendo dicho eso, si hubo información crucial comprometida, incluyendo mi contraseña personal que utilizaba en múltiples servicios personales, así como la contraseña de JF10, la cuenta de Twitter de FayerWayer, así como contraseñas de editores y 100 usuarios de Beta ID. Con esa información pudieron ingresar a nuestros correos, desde donde podrán haber obtenido alguna información adicional.

Nunca ingresaron por SSH a nuestros actuales servidores de producción. Tampoco hubo perdida de información. Sin embargo los sitios estarán fuera de servicio por varias horas más, como medida preventiva mientras investigamos lo sucedido.

A continuación les dejo la declaración preliminar de nuestro equipo IT:

El ataque que recibimos tiene una morfología bastante clara, corresponde a un ataque de recopilación de información privada habiendo vulnerado las credenciales a una cuenta de acceso personal de uno de nuestros miembros. Con la información obtenida en esa cuenta lograron acceder a un repositorio privado de contraseñas que dejaron de ser utilizadas en enero de 2009.

Mediante los datos anteriores lograron acceder a un antiguo servidor de produccion lugar en el cual alcanzo a estar contenida la aplicación Beta ID, una vez dentro de este servidor el atacante realizo una copia del código fuente de la aplicación Beta ID, ademas de lograr obtener un dump de las credenciales cifradas (SHA256) de los usuarios. Luego mediante un ataque de colission hash lograron desencriptar algunas de las contraseñas criptograficamente más débiles basándose en diccionarios.

Adicionalmente a esto lograron acceder a los paneles de administración de uno de nuestras comunidades (FayerWayer) lugar desde el donde fue publicado un articulo en el CMS Wordpress dejando a disposición del publico general toda la información rescatada desde las cuentas personales que fueron accedidas de forma no autorizada previamente.

De momento y mientras dure el proceso de investigación descartamos el acceso no autorizado a nuestra infraestructura actual de servidores, así como también el robo o perdida de información de nuestros usuarios de las comunidades.

Tomaremos todas las medidas para evitar que una situación anómala como la acontecida vuelva a ocurrir, tenemos planeadas medidas como la utilización de certificados digitales para la autentificación, políticas de cambio de contraseñas periódicas para todas nuestras comunidades y mejorar nuestros procedimientos de acceso a información privada por parte de los integrantes de nuestra compañia.

¡Viva la Comunidad!

En el lado positivo de todo esto, las personas que se enteraron de esta información vía FayerWayer o Twitter, en vez de abusar de las cuentas, vandalizar o eliminar información, cambiaron las contraseñas que habían sido hechas públicas y nos las hicieron llegar por vías privadas para que pudiéramos recuperar el control de nuestros servicios personales como Gmail, Twitter, Facebook y Vimeo. Un fenómeno realmente espectacular que contrasta los tipos de humanos que están envueltos en eventos como este: Los que simplemente quieren destrucción sin sentido y los que simplemente quieren ayudar desinteresadamente. ¡Gracias a todos por su apoyo!

Cuentas Beta ID Comprometidas

A continuación les dejamos la lista de cuentas Beta ID cuya seguridad fue comprometida. Las claves de nuestros usuarios están cifradas en SHA256, pero mediante un ataque de colisión hash lograron desencriptar algunas de las contraseñas criptográficamente más débiles basándose en diccionarios. Por lo tanto les pedimos a los siguientes usuarios que no solo cambien sus contraseñas, pero que usen contraseñas diferentes para los diferentes servicios, así como utilizar contraseñas complejas del tipo 8(EDApN*[NJ.

Cuentas comprometidas: lpinto, perovi, nestorcarrasco, volkova, melkorazo, patofuqs, gagoner, claudiomix, vidal, lorena, Polin, derangedwolf, darkoy, darkjano, hetnet, nivyii, serroba, donjuan, grouchomarx, Evadix, doruku, neuroshark, andyolivares, firexcool, noquierouser, ecodrive, masteralfe, juako, talkover, davidqs, thefx, sprite, nachx00, vagrant, forbidden, payazo, mescalier, ruffox, khalebd, fako85, patus, jorge, dsalgado, joseph, joseph, manuel, suikakuyu, eduardo, paz, dickinsonh2k, clarkxp, laura, Marmota, zirex, chinito46, lukas, Esperpento, rvs, davdor, kmepartaunrayo, hiroki, jf10, ail, JanoMac, eldarberserker, Nanolethal, necrox, rkstro, Elias, antony, turbomaster, turbomaster, Foxtrot, vortex, francofa, saint, wurrzag, infositio, camilo_dxmg, zector, chokolat, andru, angrod, elmono.

Aún si tu cuenta no está en esta lista, te recomendamos cambiar periódicamente tu contraseña en cualquier servicio, no reutilizar la misma en diferentes sitios y utilizar una clave alfanumérica compleja. Nosotros lo aprendimos a golpes.