Según el usuario Ryushi de BreachForums: Estoy vendiendo datos de +400 millones de usuarios únicos de twitter que fueron scrapeados a través de una vulnerabilidad, estos datos son completamente privados e incluye correos electrónicos y números de teléfono de celebridades, políticos, empresas, usuarios normales, y un montón de OG y nombres de usuario especiales.
|
etiquetas: filtración de datos , twitter , seguridad , hackeo
De hecho poco me parece esta fuga de datos para la que se puede liar.
Por otro lado, vaya mierda... Otra vez más los teléfonos y correos bien juntitos en una misma BBDD...
Que el código de twitter de los chapuzas que había antes fuera un caos lleno de agujeros no tiene nada que ver.
Esto es porque "ha dejado de invertir" (según tú) claro que sí.
2021 to 2022
Los accesos al sistema deben de ser monitorizados y supervisados. Si te empiezan a volcar el contenido completo de la base de datos, deberían de saltar literalmente las alarmas.
De qué tipo de alarmas hablas?
Muy interesante.
Aunque creo saber la respuesta, podrías explicar para qué quieren los hackers bases de datos en los que no hay datos de cuentas bancarias.
Hay muchas razones. Una muy común es recuperar bases de datos con credenciales para poder usarlas en otros sitios, como Steam, Spotify etc, donde hayan usado los mismos credenciales.
Otra típica es "para fardar/ganar status" en tu "crew/grupo".
Otra, típica es obtener datos privados de celebridades o personas importantes, que luego puedes usar para muchas cosas. Como por ejemplo, vender esos datos, o usarlos para ganar influencia de distintas maneras.
También es común vender esos datos a terceros que los usan para estafas o engaños, donde la información privilegiada es útil.
La alarma obviamente no te salta al atacante sino al que monitoriza el sistema.
"Twitter patched this in early 2022 so breach data is
2021 to 2022"
... si todo eso es verdad... claro... porque vete a saber si el "breach" es, incluso, verdad...
¿Si no dedicas presupuesto y mucha gente a modernizar el código, detectar vulnerabilidades y corregirlas te va a pasar esto? Sí, y cosas peores...
Llevo en esto mas de 20 años, y meneame lo hackee con 18 añitos, robé toda la base de datos y no saltó ninguna alarma. Aún recuerdo la contraseña de Ricardo, ya que las contraseñas por aquel entonces estaban en claro
Después de eso he hackeado muchas cosas, y luego he hecho muchísimas auditorias de seguridad legales. Dime que alarma salta cuando explotas una vulnerabilidad y te descargas una base de datos dentro del payload de respuesta de un servicio web, como lo es twitter.
Quedo esperando atentamente tu respuesta, ya que literalmente en ninguna empresa del mundo he visto nunca ninguna "alarma" de esas que hablas.
Me gustaría que me menciones tecnologías específicas con nombres, para que pueda aceptar mi ignorancia. Y ojo, se que hay sistemas de detección de intrusiones, pero con un ataque a medida como este y bien realizado, nada de eso te va a servir para nada, por que distinguir un payload adecuado de uno inadecuado es un problema mucho mas complejo de lo que creo estáis pensando, lo cual me delata que vosotros si que no tenéis ni idea de seguridad
Y sobre una supuesta alarma que "salta" pero que no impide el volcado de la base de datos, ya sería absurdo, ya que el volcado de la base de datos es de los peores escenarios posibles, y cualquier supuesta "alarma" (aun estoy esperando un nombre de esas "alarmas") que detecte eso, lo inteligente sería que lo impidiese, no que escriba un log en "no se donde". ¿para que sirve ese log?
Todos los hackeos decentes como este de twitter se hacen por tor mínimo, normalmente con sistemas tipo whonix. Una alarma que salta y que no impide el volcado es una soberana tontería. Obviamente es mejor que nada, pero ya que tienes una "alarma mágica" lo suyo sería que impidiese el volcado.
Pues deberías saber que al otro lado podría haber alguien monitorizando tu acceso.
Cuentame detalles sobre como sería esa monitorización por favor, ya que me dedico a la seguridad y nunca he visto algo como lo que comentas. Ni por mi parte, ni por parte de ningún proveedor de seguridad. He trabajado con muchas empresas de España de seguridad, y lo que venden son cosas muy distintas, pero esta alarma "mágica" no la he visto nunca
#12 #18 No parece un trabajador vengativo. #37 En el hilo dicen que esta vulenrabilidad fue parcheada a comienzos de 2022, por lo que los datos son de 2021 o principoios de este año, anterior a que Elon Musk comprase twitter.
La recolección de información es el primer paso.
Por otra parte saben que los usan para Twitter, por lo que pueden intentar suplantar a Twitter y será más creible que solo por email
Un ladrón puede ser muy bueno, y haber conseguido entrar en bastantes lugares, pero no puede decir que las cámaras de seguridad no existen por el hecho de que haya atacado lugares donde no existían o donde nadie las vigilaba.
#40 Yo no he trabajado específicamente en seguridad, pero sí en algunas cosas de monitorización.
Una base de datos entera puede tener un volumen considerable, para mi una alarma se podría configurar para cuando se realiza un volcado grande. También transmitir por payload grandes cantidades de datos. O en muchos casos directamente peticiones desde un mismo destino.
Claro que tiene sentido escribirlo en un log. Salta la alarma, y una persona utiliza el log para hacer las comprobaciones oportunas. Como piensas, puede que sea demasiado tarde, pero se prefiere correr el riesgo de que sea un ataque a automatizarlo y que muchas falsas alarmas (que son la mayoría), te impidan el funcionamiento del sistema. Además que muchas cosas no puedes automatizar ya que requieren una toma de decisiones demasiado compleja y que requiere una respuesta humana.
No te voy a contar las tecnologías, sabes perfectamente buscar en Google.
Yo sí me creo que sepa de seguridad, pero desde el lado del atacante. Normalmente conocer lo que ocurre al otro lado es importante para poder atacar, pero no es un requisito y además incluso puede ser una ventaja ya que se piensa de una manera distinta que posiblemente a nadie que conozca la defensa se le ocurriría.
He estado mas años en defensa que en ataque. Pero si, la reputación que tengo es por mis años en ataque, que me permiten comprender bien las cosas, en lugar de que todo sean teorías, como les pasa a los comentarios a los que yo respondía.
Yo no he trabajado específicamente en seguridad, pero sí en algunas cosas de monitorización.
Yo ahora mismo soy director de tecnología, y ese ha sido mi cargo en los últimos 10 años, en un par de empresas distintas. Todas fundadas por mi y mis socios. También he hecho de consultor de tecnología asesorando a empresas bastante grandes, como telefónica.
Una base de datos entera puede tener un volumen considerable, para mi una alarma se podría configurar para cuando se realiza un volcado grande.
Los volcados no se hacen de golpe, se hacen registro a registro, precisamente para evitar esto que comentas.
También transmitir por payload grandes cantidades de datos.
El problema que tienen las empresas es definir estas metricas. Las aplicaciones evolucionan sin parar, y estas cosas que comentas se quedan obsoletas enseguida, provocando falsos positivos sin parar, que el equipo ignora. En el 99% de las empresas tienen problemas de ingeniería muy por encima de esto, que les impiden hacer esto que comentas. Además, de que al descargar la base de datos registro a registro y usando sesiones nuevas cada vez, esto que comentas es casi imposible de detectar, y requeriría de una coordinación entre equipos que no he visto nunca, ni siquiera en empresas muy muy top.
O en muchos casos directamente peticiones desde un mismo destino.
Las aplicaciones web modernas hacen decenas/cientos de peticiones al cargar la página. Este tipo de filtros que comentas los he visto intentar implementar muchas veces, ninguna con éxito. Por eso, empresas reconocidas del sector español de seguridad no tienen todavía una solución que tu puedas comprar que haga eso. Por que tienen problemas de precision-recall que imposibilitan hacerlo.
Si que he instalado y configurado WAF (web application firewalls). Pero las normas son genéricas, e ir mas lejos que lo genérico es casi imposible, por que la… » ver todo el comentario
Esa alerta se puede automatizar (hay cientos de herramientas de detección de anomalías) aunque siempre vas a tener falsos positivos. Por ejemplo el 11S todo el mundo miraba noticias y eso provocó un tráfico anormalmente alto pero legítimo. El 11S es un ejemplo muy tocho pero siempre hay picos que no se corresponden con ningún régimen estacionario (día de la semana, hora del día,...).
Así que tienes toda la razón del mundo, aunque exista ese tipo de alertas, si haces un scraper que vaya aumentando la velocidad de crawler estos sistemas se la comen. Porque hay cierta tolerancia para no dar falsos positivos a lo loco y se adaptan a la tendencia de tráfico, por lo que un crawling que no vaya a sacazo se correspondería con un aumento legítimo de visitas. Además habiendo proxies para evitar throttling desde una cierta ip y que si usaba un fallo de seguirdad se estaba salto el paso de auténticación/autorización no va haber throttling por cuenta.... Creo que si que se podrían hacer cosas para detectar este tipo de anomalías (por ejemplo si el path de la petición cambia, cosa que con graphql no sucedería), pero a lo que está el kilo de ingeniero es muy posible que pagar la multa sea más barato.
Creo que si que se podrían hacer cosas para detectar este tipo de anomalías (por ejemplo si el path de la petición cambia, cosa que con graphql no sucedería)
Se pueden hacer cosas, el problema es que son todo cosas muy avanzadas, a medida de cada caso, y que se rompen con los cambios al sistema.
pero a lo que está el kilo de ingeniero es muy posible que pagar la multa sea más barato.
Sobretodo teniendo en cuenta el tipo de ingeniero que necesitas para implementar y afinar sistemas tan complejos, a la par que los mantiene funcionando conforme la aplicación cambia.
No digo que no se pueda. Digo que no se hace, literalmente en ningún sitio. Y yo no lo sospecho, lo se por que he atacado muchísimo y también he securizado muchísimo, y se hasta donde llegan las cosas. Y todo el que viene del mundillo, como parece tu caso, entiende perfectamente lo que digo.
Luego, un montón de gente que no ha visto nunca estos sistemas de cerca, cree que hay alarmas mágicas y super modernas que protegen sus datos. Y ojalá fuese así, y ojalá yo pudiese engañarme creyendo que eso es así, pero no lo es.