Topic: CoinMarketCap – 3.1 millones de correos electrónicos comprometidos (Read 138 times)

Hay algún pantallazo, mostrando cosas del estilo de:
Es decir, parece una ejecución del 1% sobre el fichero de contraseñas (casi completo – habrán hecho algo de limpieza de registros), con resultados aparentemente paupérrimos.

Tampoco es que sepamos interpretar exactamente qué hay detrás de cada contador (los captchas no sabemos si no intentan resolverlos, o si lo intentan y aciertan o fallan), la diferencia entre inválidos y errores, etc. De ahí (también) mi teoría de que el fichero no sea reciente, pero no lo sé. 

En teoría, por protocolo (al menos en Europa), la entidad debe comunicar a sus clientes el hecho. Al afectar a parte de la BD (los 3,1M de registros creo que no es la totalidad), deberían hacerlo individualmente a los afectados, a fin de que cada cual sepa si ha sido impactado. No he visto nada en firme al respecto aún.

¿por casualidad recuerdas la tasa de exito de ese bot que mencionas?

La lástima es que no sé qué vino antes y en qué fechas reales en su confección (<> publicación): El huevo o la gallina. Es decir, el fichero con los passwords sospecho que es una recopilación previa, pero no lo sé, ni puedo asegurar que sea veraz en su totalidad (o que lo fuese en algún momento). Lo que sí vi es que el 99,3% de los emails del fichero segundo (el que tiene passwords) está en el primero (el de los 3,1M de emails), luego hay una clara coincidencia y relación entre ellos. Eso no nos dice cómo se fraguaron desafortunadamente.

En el sitio donde obtuve los ficheros, vi lo que me parecía era algún pantallazo suelto de alguna herramienta tipo bot para intentar acceder a las cuentas de manera automatizada, mostrando las tasas de éxitos, captchas y demás. También a algún hacker wanabee preguntando cómo podía usar el conocimiento de las monedas seguidas por parte de las cuentas, para hacerse con ellas. Tampoco vi ninguna respuesta elaborada más allá de cuatro tonterías.

Tremendo trabajo investigativo de tu parte.

Ahora no solo estamos hablando de 3 millones de correos nuevos para spammear para los scammers de siempre, sino que también estamos hablando de casi medio millón de posibles contraseñas que coinciden con dichos e-mails. Una grave fuga de datos, considerando que una de las razones principales para utilizar CMC con una cuenta de correo electrónico es acceder a la función de portafolio.

Lo cual significa que, en teoria, los atacantes podrían tener acceso a información privilegiada del tamaño de las wallets de miles de usuarios de CMC, afinando sus estrategias de ingeniería social y en el peor de los casos, extorsión. Lamentable, bastante lamentable, considerando que estamos hablando de un servicio ligado directamente a Binance, el exchange de criptoactivos más grande del mundo, aunque para ser honestos hace rato se aprendió que el tamaño de una compañia poco o nada tiene que ver con su  moral.

Hoy más que nunca, una hardware wallet, aunado al bloqueo de retiros reciente.

He estado echándole un vistazo más al tema, para intentar averiguar algo más acerca del fichero de los 3,1 M de registros. De hecho, le he echado un vistazo, y en efecto, únicamente contiene correos y no contraseñas. Lo raro es que también localicé un fichero con supuestos correos y contraseñas de CMC. Este último tiene menos registros 2,3 M registros, pero son datos realmente sobre 745 K correos distintos (hay entradas con múltiples contraseñas para muchos de los correos del fichero). De ellos, 740K correos coinciden con el fichero de los 3,1M de registros.

Ni idea de dónde ha salido este segundo fichero, si es reciente o del año de la castaña. Sí que coincide en gran medida con ser un subconjunto del de CMC. Probé, de manera ética, algunas contraseñas, y sólo obtuve acceso en un caso de varias decenas que probé (lo cual es bueno).

No puedo concluir realmente demasiado, porque de este segundo fichero no tengo información sobre cómo se originó. Puede que provenga de recopilaciones de contraseñas, o que venga de algún histórico de cambios de contraseñas de CMC. Lo desconozco.

Lo que está claro es que, además de haber muchos fallos en seguridad e información circulando por doquier, CMC podría y debería ser mucho más transparente con la situación, y el origen de los 3,1 M de registros. Específicamente, podrían informar el grado de coincidencia con su BD completa, para que sepamos si es CMC específico, o una recopilación de correos cripto, de los cuales coinciden (por lógica) un determinado porcentaje. Así nos dejaríamos de especular tanto, amén de estar informados como mandan los cánones de la ética.

Seguramente, el contrato de condiciones de servicio que nadie lee aclara en letras Arial número 2 que CMC no se hace responsable de la filtración de datos de sus clientes por parte de terceros, segundos o primeros.

Nada que ver aquí caballeros, sigan circulando y consumiendo.

He leído múltiples testimoniales que indican que desde el acontecimiento de la filtración, al estilo gato de Schrödinger, han recibido mucho más spam relacionado con aspectos cripto.

A mí me sigue sonando llamativamente la frase siguiente:
(ver: https://twitter.com/CoinMarketCap/status/1451813671961833473)

Creo que se ha puesto demasiado espero en despejar las dudas sobre sus propios servidores, pero dejando indirectamente la puerta a que, de haber habido la filtración, ésta se originase en servidores de un tercero a los cuales hubiesen cedido los datos (ej/ proveedor para la ejecución de campañas de emailing). El énfasis está en "our servers", y no se focaliza en decir que no son datos de CMC.

Bueno, por ahora asumo que se trata de un lavado de manos por parte de CMC. Porque ciertamente estoy casi seguro que la filtración es real, quiza no quieren decir que ellos son los responsables para no recibir publicidad negativa o un backlash por parte de la comunidad cripto.

Desde que leí la noticia del leak, mi apartado de spam ha tenido una actividad fuera de los límites habituales.

He estado mirando en uno de los foros que tiene la BD, y hay comentarios que indican que es falsa la BD, pero otros que es veraz, y que sus emails están en la base de datos. Probando algún correo filtrado sobre la web de CoinMarketCap no da más pistas – o por lo menos al probar crear cuentas con correos que son supuestamente de la lista, la web no indica que ya existe el usuario (les envía un correo con un link para el alta, pero no dice si ya existe).

Aunque he visto varios usuarios, incluso en Bitcointalk, indicar que su correo está en la lista, no he visto apenas menciones explícitas a que indicasen que el correo lo usasen en CoinMarketCap de manera exclusiva. El siguiente parece sugerir que sí:
https://bitcointalksearch.org/topic/m.58262243

Habría que tener varios reportes de usos exclusivo para empezar a tener mayor vistas de ser factible la filtración (a falta de confirmación en positivo del hecho por parte de CoinMarketCap).

Edit:
Otra opción es que el problema esté en un proveedor de servicios suyo. Si leemos la política de privacidad, hay seis supuestos en los cuales comparten información con terceros, alguno tan genérico como:
Me da que sospechan de alguien por la frase que están usando de que "no ha salido de nuestros servidores" (pero de los de otro probablemente ...), y puede que tengan los datos por lo aquí comentado.

Ver https://coinmarketcap.com/privacy/

En efecto hay una "Alerta" de que no hubo tal cosa, pero podrìa haber actualizaciones a la fuente oficial, pero tal cosa sigue igual, asì lo confirma, pero dado la historia en este tipo de situaciones, por ahora, hoy tal cosa no ocurrió, tenemos que esperar que sucede, por que las fuentes involucradas en la noticia son de consulta confiable, pero como puedes leer, CMC dice que nada sucede.

No. segùn fuente Twitter.

Pero dado que existen tantas bases de datos, es posible que sea algo comentado en mi post anterior. Es una opiniòn de fM en mi análisis.

Por ahora es una "falsa noticia" de hecho "pinned Tweet" y no estaba en esa condiciòn.

EDIT/
Estoy leyendo tu post... @DdrmDdrm

Creo que el asunto radica en la fuente o en el foro donde se publico tal cosa, he revisado (foro-hackeo) y no la consigo, supongo que cointelegraph tiene en sus "informantes" esos foros y para publicar la noticia "la fuente" es prioritaria en los site de noticias serios, en algún lugar hay una fuente inicial, siempre.

Entonces dada la premura en ser los primeros y adelantarse a una supuesta "noticia en curso", lanzan el titular confiando en la fuente, las razones?? tràfico, esto es el objetivo de quien se adueña en la consulta de una noticia "viral" o no en las búsquedas.

Bueno, eso creo!! @DdmrDdmr

Realmente, es un tanto confuso. Muchos de los artículos al respecto entrecomillan la siguiente frase:

Pero también:
Ver: https://cointelegraph.com/news/coinmarketcap-hack-reportedly-leaks-3-1-million-user-email-addresses

El mensaje con chincheta de su Twitter asegura que no ha habido filtración de los emails desde sus servidores, para derivar luego a ver:
https://coinmarketcap.com/alexandria/article/good-security-habits

Por tanto:
-   En este último artículo no abordan el tema de la correlación que habían (supuestamente) citado con anterioridad.

-   De hecho, no tan solo no la citan, sino que conjetura con que la lista es sencillamente derivada de hackeos previos de otras entidades.

-   Para acabar diciendo que la filtración no vino de sus servidores.

Es decir, lían la troca, cuando lo que debería decir es:
-   Que la lista es o no es coincidente con Coinmarketcap en un grado muy significativo.

-   De no serlo, todo esto sería falso.

-   De serlo, sería cierto aparentemente. Si luego están seguros de que los datos no salieron de sus servidores, deberían ver y decir qué otras posibilidades hay (copias, empresas terceras que trabajan para ellos, etc.).

Un momento, un momento, que me he perdido.
¿Acaso esto significa que los correos electrónicos de las personas que se registran en CMC han sido desde un principio información pública?


Menos mal para tí, no habían pasado ni 24 horas desde que empezaron las noticias de las supuestas filtraciones y ya había acumulado sobre 40 correos en mi bandeja de Spam, por suerte almenos los servicios de correo electrónico hoy en dia son lo bastante competentes para filtrar la basura.

Esto es algo que pudo haberme afectado, pero afortunadamente no es así, hace algunos años me registré en CMC para poder hacer uso de su API y de su servicio gratuito y descargaba los precios de todas las monedas en el mercado para usar en mis pequeñas investigaciones, afortunadamente fui igual de cuidadoso que de costumbre y usé un nuevo email con una contraseña distinta y para colmo creo que el provedor de correo electrónico ya ni siquiera existe.

Así que afortunadamente no seré afectado por este hackeo o filtración de ninguna manera, aunque de seguro mi email debe estar en la lista de los afectados y eso de todos modos me molesta un poco.

^{Fuente:https://cointelegraph.com/news/coinmarketcap-hack-reportedly-leaks-3-1-million-user-email-addresses}

Lo primero que pensé fue en un fakenews, es decir, cualquiera puede hacerlo, hacerse de una base de datos "x" agregar emails y luego decir "hackearon" CMC eso eleva su valor y en consecuencia da credibilidad a la venta, la razón CMC sospecha, pues se entiende que se esta enterando por la supuesta divulgación de este listado. Y como señalan cotejaron la información (realmente lo hicieron) y señalan que hay varias similitudes, es decir, la base de datos es publica o la compraron, alguien sabe donde se puede revisar?

No hay publicidad mala, dicen, en todo caso la fuente principal es fundamental siempre en este tipo de situaciones por lo general los involucrados hacen un comunicado oficial, yo no lo he visto en torno a eso.

La realidad es que no ha pasado nada:
^{Fuente:https://twitter.com/CoinMarketCap/status/1451813671961833473}

De hecho recomienda seguir ciertos hábitos de seguridad.

Todo Ok, no se filtro nada.

Claro, por un momento se me había pasado este hecho.

Ahora bien, aunque el asunto de este hackeo y los que están por venir puedan parecer poco esperanzadores para muchos de nuestros amigos de la comunidad, aun tenemos manera de defendernos de las consecuencias directas de las fugas de datos.

El nocoiner promedio no utiliza factor doble de seguridad y si lo usa, utiliza el telefono inteligente. Creo que, los usuarios de la comunidad criptográfica han de utilziar la ventaja de poseer una billetera fría para hacer usar el U2F y parar el seco a los criminales que intenten acceder a sus cuentas de exchanges y a los correos electrónicos.

Después de todo, la criptografía no solo es para crear intrumentos financieros y de transferencia de valor, sino también para asegurar nuestra identidad digital.

_______________________________________________________________________________ _______________________

Recomiendo a los interesados ver:

Cómo usar Ledger Nano S como llave de seguridad U2F

How-to: Trezor One U2F Key

Guía oficial de Trezor para usar U2F con sus billeteras

Tengan en cuenta de esto no solo se puede hacer con cuentas de Google, Dropbox, ect. Sino también con cuentas de exchanges como Binance, de tal forma que se necesite el dispositivo para ingresar o retirar.

En el caso de Binance, puede seleccionarse el dispositivo solo para hacer retiros y no para el log-in, ect. De tal forma que si por algún motivo no se tiene acceso al dispositivo de forma momentanea, no represente un bloqueo completo.



Por supuesto, también existe la ventaja de que las hardware wallets poseen un mejor sistema de respaldo que las llaves de seguridad dedicadas. En caso de perdida, las palabras de recuperación te permitiran obtener acceso al realizar el recovery en un dispositivo nuevo.

¡Cuiden sus cuentas!

Aunque se supone que los passwords no se han filtrado, los riesgos derivados siguen existiendo efectivamente. Los hackers/scammers pueden saber ahora que estos correos están relacionados con criptomonedas, y pueden:

-   Remitir correos de phishing, pretendiendo ser originados en plataformas cripto cualesquiera, por si se da la casualidad que la persona usa el mismo correo en otras plataformas (ej/ Exchanges).

-   Remitir todo tipo de "ofertas" suculentas, al estilo de las citadas por @Hispo.

-   Cruzar el email con otras BDs de emails que tengan password, e intentar si el par les da algún beneficio en algún site relacionada con cripto.

El tema no es únicamente que el email se haya filtrado, sino que se ha hecho con un contexto, y este hecho permite afinar los ataques anteriormente citados…

Bueno, parece que mi bandeja de spam pronto recibirá una nueva tanda de oportunidades de negocios, extraños que aseguran haber hackeado mi computadora y webcam (que no tengo) y que revelarán detalles perturbadores sobre mí si no envío 2000$ en BTC, también puede que aparezca mi amigo el Principe Nigeriano y quizá invite a algún primo lejano de la India o quizá a un rey perdido de una tribu Africana (uno con mucho oro en bruto y con una buena conexión a internet) o quizá una mujer de internet random que quiera mi cuerpo ¿quién sabe?

Aunque admito que mi correo ya estaba algo manchado debido a las despreocupaciones de mi juventud y las típicas paginas de juegos de los años 2000. Come decimos por aquí en mi tierra: Una raya más para el tigre.

Habitualmente, CoinMarketCap es consultado sin necesidad de dar de alta una cuenta en la web. No obstante, los usuarios tienen la posibilidad de darse de alta a fin de acceder a características adicionales tales como realizar un seguimiento de un portafolio de cuentas y crear watchlists. Para ello, se proporciona un correo electrónico y una contraseña.

Recientemente se ha detectado la venta de 3,1M de cuentas CoinMarketCap en foros de hackeadores. Se data el hackeo con fecha del 12/10/2021, y CoinMarketCap sigue investigando el incidente (aún no tienen claro qué ha sucedido, ni si el incidente es del todo seguro un problema en su lado de la seguridad).

Se supone que los passwords no están comprometidos, pero por seguridad, habría que cambiarlo.

Ver: https://cointelegraph.com/news/coinmarketcap-hack-reportedly-leaks-3-1-million-user-email-addresses