Menuda faena Krako, como te han dicho por ahi, lo mejor es que avises a todos tus clientes y automáticamente denuncies el hecho.
Una pena que haya tanto sinvegüenza suelto.
Un saludo y no desesperes, vuelve a intentarlo que de todo se aprende.
Topic: Hackers extorsionando Webs que aceptan Bitcoins - page 4. (Read 5216 times)
Obviamente le puede pasar a culaquier tienda online, pero es poco probable que pase en tiendas online pequeñas como la mia, ya que hay pocas posibilidades de cobrar en moneda de curso con seguridad.
No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.
No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.
Hola
Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.
Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.
El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?
Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.
No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.
Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.
Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.
El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?
Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.
No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.
Hola Krako, lo mejor como dijeron antes, no pagues, si puedes denunciar mejor aun.
Con respecto a lo que mencionas de las web normales de pequeñas empresas por lo general suelen ser un sitio informativo. Ahora si te referis a un sitio de comercio electronico, o cualquier sitio web en general, trata de utilizar algun soft open source, nada es seguro en este mundo, pero por lo general los sitios utilizando tecnologia open source ej wordpress, drupal, typo3, prestashop, y muchos otros cms suelen ser bien mantenidos y con pocos problemas de seguridad recuerda que son millones de usuarios que utilizan dia a dia este tipo de soft y son muchos los colaboradores para mejorar el soft.
Anunciar que tu web acepta bitcoin no quiere decir que tengas tu pagina web ligada al servidor bitcoind y que aceptes bitcoin tampoco quiere decir que tengas muchas ventas en btc, solo paso que vieron tu web, la escanearon y te exploitearon, suele pasar con programaciones chicas como nombras, pero por el solo hecho de que las empresas que realizan este tipo de trabajos desde 0, ya sea por conocimientos o tiempos de desarrollo no suelen asegurar tu aplicacion, tu web por lo menos deberia tener entre otras cosas un archivo htaccess bloqueando los principales archivos de php que tengas.
Mis consejos con respecto a la web
1 - Cambia todas las contraseñas del panel de control de tu hosting como asi las de los mails y bases de datos
2 - Realiza un backup de las db
3 - Quita tu sitio ya que los archivos bulnerables siguen encontrandose ahi.
4 - Podrias colocar un simple html que diga que estas de mantenimiento pero si quita tus archivos del sitio momentaneamente.
5 - Avisales a tus clientes, tomate tu tiempo y diles que te hackearon. Que en estos momentos estas mejorando la seguridad para que esto no vuelva a suceder.
6 - Habla con los que te hicieron la web para ver que solucion te pueden dar, ya que ellos hicieron el sistema y conocen como funciona.
Saludos y esperamos novedades
saludos
Lo siento. Si la seguridad informatica fuera mi fuerte probaría a ayudarte.
Esto le puede pasar a cualquier tienda web, acepte o no acepte bitcoins. Lo que si es cierto es que aceptando bitcoins puede hacerte un objectivo más probable, pero lo que te han hecho a ti se lo pueden hacer a cualquiera que no acepte bitcoins también.
Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC,
Esto le puede pasar a cualquier tienda web, acepte o no acepte bitcoins. Lo que si es cierto es que aceptando bitcoins puede hacerte un objectivo más probable, pero lo que te han hecho a ti se lo pueden hacer a cualquiera que no acepte bitcoins también.
Por cierto, ya puedes hacer una copia de seguridad de toda la base de datos si no lo has hecho ya. Con la misma estrategia de SQL injection, pueden borrártela completamente.
Lo primero que tienes que hacer es lo que dijo Polvos mandar un mensaje a todos tus clientes diciendo que la BDD esta comprometida y que cambien la contraseña.
Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.
Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.
Las razones pueden ser varias. Dos que se me ocurren:
1) ¿Es la contraseña de la base de datos una contraseña fuerte?
2) ¿Tienes el código protegido frente a "SQL injections"? Es decir, utilizas "prepared statements" al llamar a tu base de datos o lo haces concatenando cadenas? Este último punto es MUY IMPORTANTE tenerlo en cuenta.
1) ¿Es la contraseña de la base de datos una contraseña fuerte?
2) ¿Tienes el código protegido frente a "SQL injections"? Es decir, utilizas "prepared statements" al llamar a tu base de datos o lo haces concatenando cadenas? Este último punto es MUY IMPORTANTE tenerlo en cuenta.
Hola
Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.
Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.
El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?
Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.
No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.
Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.
Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.
El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?
Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.
No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.
Hola colega lamentable, pero te hago unas preguntas, por donde entraron si sabes alguna funcion o algo en php? que tipo de script usas en tu web? es hecho a la medida o algun soft en particular?, no usas algun tipo de template sin licencia?, suelen traer muchos exploits que la gente cree que se bajo una pagina perfecta y solo bajo mas problemas. Contanos mas por que la verdad me interesa bastante el tema saludos
Yo no tengo ni la menor idea de seguridad en servidores, pero sé lo básico sobre seguridad como usuario.
NUNCA repitáis contraseñas entre distintos sitios web cuando os deis de alta. Así si a algún administrador le roban la base de datos no podrán utilizarla para entrar en sitios más importantes como paypal, tu correo, etc.
Utilizad contraseñas seguras, esto es, largas, que mezclen mayúsculas y minúsculas, cifras y símbolos. Podéis emplear para generarlas y guardarlas algún programa seguro de gestión de contraseñas como el lastpass o el keepass.
Poneos siempre en el peor de los casos. Considerad siempre que vuestro equipo o la web en la que os acabáis de dar de alta está comprometida.
Guardad vuestros ahorros Bitcoin en coldwallets (paperwallets) si no pensáis tradear o gastarlos inmediatamente.
Utilizad siempre que sea posible la doble autentificación de google (google authentificator). Si el servicio en el que queréis daros de alta está relacionado con Bitcoin y no dispone de Google authentificator, ni os molestéis en validaros puesto que en no demasiado tiempo será hackeado y os robarán el dinero.
Con respecto a tu web... yo lo que haría sería adelantarme a ese correo del hacker enviando un aviso por correo sobre el robo de la base de datos a todos tus clientes para que cambien inmediatamente las contraseñas que pudieran haber sido comprometidas, sobretodo si la compartían con otros servicios (blockchain, cliente_qt, Bitfinex, MtGox, Correo, Paypal, etc).
Y después busca a un auténtico profesional para que te asesore sobre seguridad.
NUNCA repitáis contraseñas entre distintos sitios web cuando os deis de alta. Así si a algún administrador le roban la base de datos no podrán utilizarla para entrar en sitios más importantes como paypal, tu correo, etc.
Utilizad contraseñas seguras, esto es, largas, que mezclen mayúsculas y minúsculas, cifras y símbolos. Podéis emplear para generarlas y guardarlas algún programa seguro de gestión de contraseñas como el lastpass o el keepass.
Poneos siempre en el peor de los casos. Considerad siempre que vuestro equipo o la web en la que os acabáis de dar de alta está comprometida.
Guardad vuestros ahorros Bitcoin en coldwallets (paperwallets) si no pensáis tradear o gastarlos inmediatamente.
Utilizad siempre que sea posible la doble autentificación de google (google authentificator). Si el servicio en el que queréis daros de alta está relacionado con Bitcoin y no dispone de Google authentificator, ni os molestéis en validaros puesto que en no demasiado tiempo será hackeado y os robarán el dinero.
Con respecto a tu web... yo lo que haría sería adelantarme a ese correo del hacker enviando un aviso por correo sobre el robo de la base de datos a todos tus clientes para que cambien inmediatamente las contraseñas que pudieran haber sido comprometidas, sobretodo si la compartían con otros servicios (blockchain, cliente_qt, Bitfinex, MtGox, Correo, Paypal, etc).
Y después busca a un auténtico profesional para que te asesore sobre seguridad.
Hola a todos.
Tristemente acabo de descubrir en mis propias carnes, una desventaja "inesperada" de aceptar Bitcoins en sitios web pequeños como el mío.
Hemos pasado a ser objetivos de hackers a la caza de bitcoins.
Hoy he recibido este email:
from: [email protected]
Your site has been hacked
Hello.
You webpage has been hacked.
I have your entire database (emails, passwords, phones, addresses, shippings, whatever).
So, this is the deal: you will transfer 25 bitcoins to this bitcoin address: 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q or I will send an email to all your clients showing them that I have all their data (btw, most of them use the same password for everything so I can access to their emails and paypal accounts).
I promise you that once I get my coins your clients will never know about me, and you can update that shitty security system that you have.
You have 5 days, after that I will start to send emails or hack your clients accounts.
Proof:
Database: xxxxxxx, 33 tables:
Table: tbadmin
full_name ID level_id password username
-------------------------------------------
xxx0 2 xxxxxx xxxxx
xxx 3 1 xxxxxx xxxxx
Some emails and passwords:
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
Tal y como podéis leer me han hackeado la base de datos y me extorsionan pidiéndome 25 BTC a cambio de no enviar correos a mis clientes informándoles de que tiene sus datos.
Como comprenderéis ahora mismo estoy un poco de bajón, por decirlo suavemente. Esa base de datos es el fruto de mi trabajo de los últimos 13 años...
Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC, el hecho de aceptar BTC delata al propietario sobre su conocimiento del tema y la posibilidad de tener un monedero y conocer el funcionamiento de la moneda y te aseguras un recibo del dinero limpio. Vamos que hacer esto con pago transferencia bancaria o paypal es inviable.
Me he decidido a escribir este hilo por dos razones:
1- Alertar a otros propietarios de sitios, para que incrementen la seguridad de sus webs no les pase lo mismo que me está pasando a mi, y tengan en cuenta este tema.
2- Pediros ayuda. Quizás haya por aquí algún experto en temas de seguridad de bases de datos mysql y php que me quiera echar un cable a descubrir el fallo de seguridad (que según el extorsionista la seguridad de mi web es una mierda) para solucionarlo e intentar que no vuelva a suceder.
Gracias a todos por vuestra ayuda
Saludos
Tristemente acabo de descubrir en mis propias carnes, una desventaja "inesperada" de aceptar Bitcoins en sitios web pequeños como el mío.
Hemos pasado a ser objetivos de hackers a la caza de bitcoins.
Hoy he recibido este email:
Quote
from: [email protected]
Your site has been hacked
Hello.
You webpage has been hacked.
I have your entire database (emails, passwords, phones, addresses, shippings, whatever).
So, this is the deal: you will transfer 25 bitcoins to this bitcoin address: 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q or I will send an email to all your clients showing them that I have all their data (btw, most of them use the same password for everything so I can access to their emails and paypal accounts).
I promise you that once I get my coins your clients will never know about me, and you can update that shitty security system that you have.
You have 5 days, after that I will start to send emails or hack your clients accounts.
Proof:
Database: xxxxxxx, 33 tables:
Table: tbadmin
full_name ID level_id password username
-------------------------------------------
xxx0 2 xxxxxx xxxxx
xxx 3 1 xxxxxx xxxxx
Some emails and passwords:
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
[email protected] - xxxxxxxxx
Tal y como podéis leer me han hackeado la base de datos y me extorsionan pidiéndome 25 BTC a cambio de no enviar correos a mis clientes informándoles de que tiene sus datos.
Como comprenderéis ahora mismo estoy un poco de bajón, por decirlo suavemente. Esa base de datos es el fruto de mi trabajo de los últimos 13 años...
Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC, el hecho de aceptar BTC delata al propietario sobre su conocimiento del tema y la posibilidad de tener un monedero y conocer el funcionamiento de la moneda y te aseguras un recibo del dinero limpio. Vamos que hacer esto con pago transferencia bancaria o paypal es inviable.
Me he decidido a escribir este hilo por dos razones:
1- Alertar a otros propietarios de sitios, para que incrementen la seguridad de sus webs no les pase lo mismo que me está pasando a mi, y tengan en cuenta este tema.
2- Pediros ayuda. Quizás haya por aquí algún experto en temas de seguridad de bases de datos mysql y php que me quiera echar un cable a descubrir el fallo de seguridad (que según el extorsionista la seguridad de mi web es una mierda) para solucionarlo e intentar que no vuelva a suceder.
Gracias a todos por vuestra ayuda
Saludos
Jump to: