Los piratas informáticos asociados con el colectivo hacktivista Anonymous dicen que han filtrado gigabytes de datos de Epik, un host web y registrador de dominios que brinda servicios a sitios de extrema derecha como Gab, Parler y 8chan, que encontraron refugio en Epik después de que fueron arrancados de las plataformas principales. .
En una declaración adjunto a un archivo torrent de los datos descargados esta semana, el grupo dijo que los 180 gigabytes equivalen a una “década” de datos de la empresa, incluido “todo lo que se necesita para rastrear la propiedad y la gestión reales” de la empresa. El grupo afirmó tener historiales de pago de clientes, compras y transferencias de dominios, contraseñas, credenciales y buzones de correo de empleados. El caché de datos robados también contiene archivos de los servidores web internos de la empresa y bases de datos que contienen registros de clientes para dominios que están registrados con Epik.
Los piratas informáticos no dijeron cómo obtuvieron los datos violados o cuándo tuvo lugar el ataque, pero las marcas de tiempo en los archivos más recientes sugieren que el ataque probablemente ocurrió a fines de febrero.
Epik inicialmente dijo a los reporteros que no tenía conocimiento de una violación, pero un correo electrónico enviado por el fundador y director ejecutivo Robert Monster el miércoles alertó a los usuarios sobre un “presunto incidente de seguridad”.
Desde entonces, TecnoFans se enteró de que se advirtió a Epik de una falla de seguridad crítica semanas antes de su violación.
El investigador de seguridad Corben Leo se puso en contacto con el director ejecutivo de Epik, Monster, a través de LinkedIn, en enero sobre una vulnerabilidad de seguridad en el sitio web del proveedor de alojamiento web. Leo preguntó si la compañía tenía una recompensa por errores o una forma de informar la vulnerabilidad. LinkedIn mostró que Monster había leído el mensaje pero no respondió.
Leo le dijo a TecnoFans que una biblioteca utilizada en la página de WHOIS de Epik para generar informes en PDF de registros de dominio público tenía una vulnerabilidad de una década que permitía a cualquiera ejecutar código de forma remota directamente en el servidor interno sin ninguna autenticación, como una contraseña de la empresa.
“Podrías pegar esto [line of code] allí y ejecutar cualquier comando en sus servidores ”, dijo Leo a TecnoFans.
Leo ejecutó un comando de prueba de concepto desde la página de WHOIS pública para pedirle al servidor que mostrara su nombre de usuario, lo que confirmó que el código podía ejecutarse en el servidor interno de Epik, pero no probó para ver qué acceso tenía el servidor. por lo que sería ilegal.
No se sabe si los hacktivistas de Anonymous utilizaron la misma vulnerabilidad que descubrió Leo. (Parte del caché robado también incluye carpetas relacionadas con el sistema WHOIS de Epik, pero los hacktivistas no dejaron información de contacto y no pudieron ser contactados para hacer comentarios). Pero Leo sostiene que si un hacker explotara la misma vulnerabilidad y el servidor tuviera acceso a otros servidores , bases de datos o sistemas en la red, ese acceso podría haber permitido el acceso al tipo de datos robados de la red interna de Epik en febrero.
“Realmente supongo que así es como se hicieron dueños”, dijo Leo a TecnoFans, quien confirmó que la falla se ha solucionado desde entonces.
Monster confirmó que recibió el mensaje de Leo en LinkedIn, pero no respondió nuestras preguntas sobre la infracción ni dijo cuándo se reparó la vulnerabilidad. “Tenemos cazarrecompensas que ofrecen sus servicios. Probablemente pensé que era uno de esos ”, dijo Monster. “No estoy seguro si lo hice. ¿Respondes a todos tus spam de LinkedIn? “