Topic: (Supuestos) 23 Terabytes de información personal por 10 BTCs (Read 114 times)

Lo interesante de este caso es que no se precisaba, a mi entender, de gran habilidad, sino de haberlo sido ligeramente espabilado, y tener dónde bajarte esta cantidad ingente de información.

Según reflejé en un post anterior, parece ser que la información estaba en un Cuadro de Mandos abierto. Es como si alguien que tuviese Tableau se intentase bajar mi Cuadro de Mandos y vería que sí, que puede hacerlo sin problemas, y sin contraseña. Esto se debe a que lo dejé abierto a descargas, punto equivalente donde parece radicar el fallo de seguridad.

Los Cuadros de Mando suelen tener una arquitectura que no es cliente-servidor, y donde muchos de ellos lo que hacen es aglutinar todos los datos en el fichero del Cuadro de Mandos. Este fichero, que alberga el cuadro en sí y los datos, es lo que, a mi entender, logró bajarse alguna persona. Una vez tienes el fichero, y con el entorno en el cual se creó el fichero (el Tableau de turno que usasen ellos), normalmente puedes exportar cualquier tabla interna hacia csv.

Por ahí parecen ir los tiros, sin grandes sofisticaciones, pero si con una gran laguna de seguridad en la protección del propio Cuadro de Mandos.

Nota: Como se puede lo llevamos …

Esto es algo que causa mucha gracia, después que estuvo expueto les van a cobrar, en un moemnto cuando estaba leyendo se me vino a la mente un caso de Ransomware, porque para entrar a una BD China me imagino que se requiere de mucha habilidad, los Chinos son muy buenos en cuanto a seguridad, pero una pifia de estas la están pagando muy caro, será que pueden darle gusto y pagar esos 10BTC?Me suena que son unos hackers muy vivos, un descuido y tenga.

Nota Off Topic: Espero que todos los miembros de nuestro foro de España se encuentren bien, he visto por las noticias que hay una gran ola de calor, de día y noche y grandes incendios.

Había visto en su momento que los datos no iban protegidos con ninguna contraseña, facilitando su explotación una vez obtenidos. No le di demasiados vueltas en su momento, pero hoy, releyendo algún artículo al respecto, he visto que el origen parece ser un Cuadro de Mandos sin contraseña.

Por hacernos una idea, el Merit Dashboard que tengo no se podía descargar hasta hace poco. Esto lo cambié, y ya es descargable. Esto supone no obstante que quien se lo descarga no sólo tiene una copia de las pantallas y el poco código, sino que tiene acceso a visualizar y exportar todos los datos. Muchos Cuadros de Mandos embeben los datos en el propio fichero del Cuadro de Mandos, lo cual les convierte en un riesgo de seguridad si no se gestiona bien.

Cobrar 10 BTCs por algo que estuvo abierto al acceso publico durante casi un año es de pillo …

De lo malo malo, a las empresas sueles poder elegir darles tus datos o no en función de si te merece la pena o no el servicio, pero a los gobiernos no queda otra alternativa que dárselos.

Generalmente este tipo de filtraciones se empiezan ofertando a precios altos pero, una vez que se vuelven vox populi y empiezan a circular, prácticamente los acaban regalando. No sé si se llegaría a vender por 10 BTC, pero si es cierto que lleva un año circulando probablemente en algún que otro foro especializado se estará vendiendo por mucho menos.

Según este artículo de la CNN, los datos parecen ser veraces y llevan rondando en foros de hackers durante más de un año, habiendo cogido notoriedad el caso ahora al llegar a los segmentos más públicos.

El vendedor de la BD por 10 BTCs probablemente, a estas alturas, sea pues realmente un oportunista.

En el fondo, en ninguna empresa o entidad realmente ...

Este caso porque se supo, y quizás el vendedor no sabe el valor real de lo que tiene...o quizás el apuro se deba a que como se menciona posterior (edit.), solo le interese vender rápidamente.

Dicen del agua dulce, que será el próximo petróleo, dicen de los datos personales que pueden tener un valor de arranque tomando de referencia a China en $0,0002 o en jerga $0.2m$ queda mejor.

Ese precio será porque es  "made in china", siempre todo sale barato.  

---

^{Edito, agrego comentario:precio de referencia BTC usado, en seco $20k, por si acaso para formalismo de poner precio a la data el dìa de hoy.}

Es una locura ya esto expone todos los ciudadanos que han sido victima de una mala práctica de seguridad por parte del gobierno. Hace un par de meses tuvimos un problema similar en México en donde se encontró que la información de los usuarios en el SAT (Servicio de Administración Tributaria) fue comprometida, y lo interesante es que decían que no se trataba de un hacker que llegó a los servidores con un USB para robar la información, sino que había infraestructura y redes conectadas a los servidores las cuales se desconocía el destino de a donde enviaban la información.

Como moraleja, no podemos confiar nuestros datos en el gobierno, aun que este nos obligue a dárselo.

Desconozco completamente los valores que se manejan en estos negocios, pero me da la sensacion que es demasiado barato teniendo en cuenta la cantidad y supuesta calidad de la informacion a vender.

Con tu edit algo de eso se explica ya que seria una especie de reventa. Pero sigue sin cerrar demasiado.

Un hacker dice tener en su posesión datos personales de 1.000.000.000 de ciudadanos chinos, información procedente de una base de datos de la policía de Shangai. La información abarca nombre completos, dirección, lugar de nacimiento, número de identificación, número de móvil, así como detalles sobre casos criminales en los cuales estuviesen involucrados los ciudadanos. La información supuestamente estaba hospedada en los servidores de Alibaba.
 
La información aún no ha podido ser confirmada, pero ya ha llevado a algunos a moverse de manera preventiva como es el caso de Binance, que ha escalado sus procesos de verificación de identidad.

De ser cierto, habrá que ver el detalle final real, dado que con la cantidad de información que tiene China sobre sus ciudadanos, no me extrañaría ver información biométrica, de perfilado, ID completo y demás …

Ver:
https://www.reuters.com/article/china-data-hack-idTRNIKBN2OF0I1
https://www.elconfidencial.com/tecnologia/2022-07-04/hacker-informatica-china-tecnologia_3454953/

Edit:
Según he visto en varios medios, es posible que el vendedor no sea realmente el hacker original, sino un oportunista que, habiéndose hecho con la BD, la intenta vender. Asocia también un fichero de muestra con datos de personas, entre las cuales figura adicionalmente información de pedidos express y de comida rápida.

El artículo abajo referenciado si cita que usuarios del foro donde se ha publicado han verificado que los datos publicados son reales. También apunta que el origen podría no haber sido un hackeo, sino la mala praxis de seguridad de alguien con acceso a los datos por cuestiones laborales ... Stranger Things …


ver: https://www.bloomberg.com/opinion/articles/2022-07-05/china-hack-data-on-more-than-1-billion-people-likely-leaked-due-to-sloppiness