Hackeo masivo en página de comercio electrónico
CIUDAD DE BUENOS AIRES (Urgente24). Hay un sitio de comercio electrónico que se llama Geelbe y fue fundado por directores de la Cámara Argentina de Comercio Electrónico.
Ese sitio fue considerado un proyecto interesante y por eso, hace unos años, recibio una inversión cercana a $ 10 millones de unos fondos de inversión que apuntalaban su expansión a otros países de Latinoaméricana. De hecho, tiene operación en México, además de la Argentina.
El miércoles 24/03 fue publicado en una página de internet un
listado con mas de 400 nombres de usuarios y contraseñas de los
miembros de Geelbe.com.
En el listado había un mensaje en inglés que decía algo así como "son unos pelotudos, tienen 70.000 usuarios y no encriptan las contraseñas".
El incidente tuvo muchísima repercusión en los sitios de comercio electrónico, de programadores y desarrolladores, y en los foros de hackers.
Hay casos para todos los gustos.
Uno de los proyectos argentinos más ambiciosos y exitosos de los últimos tiempos, en el que se han invertido millones, y en donde un error dejó en evidencia la debilidad de su plataforma, exponiendo la clave de más de 460 de sus usuarios. Sí, hubo un hackeo en sus sistemas que seguramente será difícil de determinar su origen y la manera en que se llevó adelante, pero aún a pesar de eso, el inexplicable error radica en la seguridad empleada en relación a la seguridad de encriptación de las claves de los usuarios de Geelbe, algo tan elemental que sorprende a la comunidad, como se ha expresado por numerosos usuarios de Twitter.
Para que se entienda: las claves tenían un proceso que se basaba en una directiva que convertía "1234″ en algo como "15sa1SWDs8sd45″, pero luego existe una misma directiva que trasforma ese supuesto "15sa1SWDs8sd45″ en "1234″, con lo cual, si uno tene acceso a la contraseña encriptada codificada (como han señalado en detalle Marcos y Eric en los comentarios a esta nota, que se agradecen muchísimo), básicamente también lo tiene sobre la original. Es un método de codificación conocido como Base64. No había encriptación real de los datos, y estamos hablando de un sitio de comercio electrónico.
Remarquemos y destaquemos, eso sí, que la gente de Geelbe tomó cartas en el asunto de forma rápida, y es que el problema lo generó, más allá del hackeo en sí mismo, la persona que estuvo a cargo del sistema de encriptación de las claves, y esto es lo impresionante, que un negocio del tamaño de Geelbe dependa de la capacidad y conocimiento de una persona, a la que evidentemente no se le analizó correctamente su trabajo, a partir por ejemplo de una segunda opinión.
Asimismo, en lo que respecta a la plataforma de Geelbe, señalar que a través de una de las cuentas afectadas, pudimos comprobar que no se podía además dar de baja la misma, al menos eso pasaba ayer por la noche poco después de que se diera a conocer esta situación. Esto es otro punto que nos preocupó y nos preocupa de cara al futuro de Geelbe. Suponemos que esta funcionalidad estaría siendo "actualizada" y que por eso no pudimos cancelar la cuenta.
Las tecnologías de seguridad están, y son las personas las que cometen los mayores errores. Ya lo observamos en Twitter, cuando se conoció que a partir de que usaban una clave del tipo 123456, se les "metieron" en sus servidores. Hay que reconocer que no es fácil llevar adelante un emprendimiento, y menos aún estar al tanto de cada uno de sus aspectos, pero llama poderosamente la atención este caso de Geelbe, porque este modelo de encriptación, que se supone que es el arma de la seguridad de sus usuarios, se estableció durante la construcción de su plataforma.
Acaban de hackear Geelbe.com y publicaron en una URL todas las combinaciones de mail + clave (encriptada pobremente) y, por la hora del día, la respuesta de Geelbe va a tardar. Las claves estan encriptadas de forma de ser simplemente desencriptadas y, como en general hacen todos, usan la misma combinacion de clave + correo electrónico en más de un sitio.
Como medida de seguridad, vayan a los otros servicios web donde usen ESA combinación específica de mail + clave para ingresar y cambienlo urgente primero en los otros sitios. ¿Porque recomiendo ir primero a los otros? Porque la vulnerabilidad va a seguir estando al menos hasta que lo solucionen y toda clave nueva que pongan en Geelbe va a quedar "debilitada"… entonces, primero salven lo que no es vulnerable y luego vean si cambian la clave a una que sea temporaria.
Nota: NO, no voy a publicar la URL del blog porque sería estúpido y, por otro lado, me acabo de dar cuenta que ese proveedor no tiene un formulario de contacto de seguridad. Y me avisó, gracias, @estebanbianchi
Actualización: En Argentina es feriado, la publicación de las claves fue a las 2:00AM, no esperen que haya alguien despierto para solucionarlo ahora, por eso les recomiendo cambiar otras claves hasta que sea oficial que cerraron el hueco de seguridad.
Actualización 2: Ya están trabajando en el tema… el sitio muestra señales de "trabajos" y aseguran, oficialmente, que solo una parte de los usuarios de Argentina fueron afectados y están tratando de localizar de donde vino el "hack".
La empresa, antes que asumir el error prefirió lanzar unos comunicados con información confusa y sin decir cuál fue el nivel de exposición de los datos.
Paradójicamente pusieron un listado de sugerencias de como
hacer contraseñas realmente seguras, algo que ellos mismos nunca hicieron.
En Internet varios fueron
Como se puede ver en la pagina web de Logysweb, ni es una empresa de desarrollo web, sino de e-commerce.
Por estos motivos, no hay que poner contraseñas de cosas privadas importantes en los sitios web que quién sabe cémo están manejados.
Obviamente que algo semejante nunca ocurrirá en Facebook o en Google, pero... siempre es mejor prevenir.