Bleeping Computer descubrió que en darknet se vende una base de datos de usuarios que contiene 34 millones registros. De hecho, el vendedor afirma que esta información fue robada de 17 empresas diferentes.

Una captura del mensaje del foro de venta de base de datos
Mensaje sobre la venta en un foro hackers

Este lote salió a la venta el 28 de octubre de 2020. Cuando los periodistas se pusieron en contacto con el vendedor y le preguntaron de dónde se sacaron estos datos, les respondió que actuaba exclusivamente en el papel de un proveedor y no tenía nada que ver con la piratería de las empresas en sí. Es decir, aún se desconoce cómo exactamente y por quién fueron pirateadas las empresas afectadas.

Se informa que los atacantes obtuvieron las diecisiete bases de datos en 2020. La filtración más grande ocurrió en Geekie [.] com [.] br: se robaron 8.100.000 registros. La empresa más famosa afectada es RedMart, con sede en Singapur (1.100.000 registros), cuya base de datos está valorada por el vendedor en 1.500 dólares.

EmpresaNumero de registrosInformación sobre fugas
Geekie.com.br8 100 000No
Clip.mx4 700 000No
Wongnai.com4 300 000Si, por email
Cermati.com2 900 000No
Everything5pounds.com2 900 000No
Eatigo.com2 800 000No
Katapult.com2 200 00No
Wedmegood.com1 300 000No
RedMart1 100 000si
Coupontools.com1 000 000No
W3layouts.com789 000No
Game24h.vn779 000No
Invideo.io571 000No
Apps-builder.com386 000No
Fantasycruncher.com227 000No
Athletico.com.br162 000No
Toddycafe.com129 000No

Ignorancia por parte de las empresas

En particular, ninguna de las 17 empresas ha informado anteriormente sobre problemas de seguridad o violaciones de datos. Solo después de que los periodistas de Bleeping Computer contactaran a todas las víctimas, los representantes de RedMart revelaron la fuga de datos, y los representantes de Wongnai [.] com dijeron que estaban investigando el incidente.

Según el vendedor, la siguiente información está disponible sobre los usuarios de cada empresa:

• Redmart.lazada.sg : correo electrónico, contraseñas (SHA1), direcciones postales y de facturación, nombres de usuario completos, números de teléfono, números de tarjetas de crédito parciales y fechas de vencimiento;
• Everything5pounds.com : correo electrónico, contraseñas hash, nombres, género, números de teléfono;
• Geekie.com.br : correo electrónico, contraseñas (bcrypt-sha256 / sha512), nombre de usuario, nombres, DoB, género, número de teléfono móvil, números CPF brasileños;
• Cermati.com : correo electrónico, contraseñas (bcrypt), nombres, direcciones, números de teléfono, información de ingresos, banco, número de contribuyente, número de identificación, sexo, datos laborales, empresa, apellido de soltera de la madre;
• Clip.mx : correo electrónico, teléfono;
• Katapult.com: correo electrónico, contraseñas (pbkdf2-sha256 / desconocido), nombres;
• Eatigo.com : correo electrónico, contraseñas (md5), nombres, números de teléfono, género, ID de Facebook y tokens;
• Wongnai.com : correo electrónico, contraseñas (md5), direcciones IP, ID de Facebook y Twitter, nombres, fecha de nacimiento, números de teléfono, códigos postales;
• Toddycafe.com : correo electrónico, contraseñas, nombres, números de teléfono, direcciones;
• Game24h.vn : correo electrónico, contraseñas (md5), nombre de usuario, fechas de nacimiento, nombres;
• Wedmegood.com : correo electrónico, pares (sha512), teléfonos, ID de Facebook;
• W3layouts.com : correo electrónico, contraseñas (bcrypt), direcciones IP, países, ciudades, estados, teléfonos, nombres;
• Apps-builder.com: correo electrónico, contraseñas (md5crypt), direcciones IP, nombres, países;
• Invideo.io : correo electrónico, contraseñas (bcrypt), nombres, números de teléfono;
• Coupontools.com : correo electrónico, contraseñas (bcrypt), nombres, números de teléfono, sexo, fechas de nacimiento;
• Athletico.com.br : correo electrónico, contraseñas (md5), nombres, CPF, fechas de nacimiento;
• Fantasycruncher.com : correo electrónico, contraseña (bcrypt / sha1), nombre de usuario, nombre de usuario, direcciones IP.

Datos de usuarios

Los reporteros de Bleeping Computer examinaron las muestras de bases de datos proporcionadas por los atacantes. Confirmaron que las direcciones de correo electrónico corresponden a las cuentas de usuarios de 13 de las 17 empresas de servicios comprometidas. Además, solo las cuentas de Clip [.] mx, Katapult, CouponTools o Aps-builder [.] com no se pudieron verificar.

Captura de parte de base de datos de usuarios en Excel
Una de las bases de datos

Aunque hasta el momento no existe una confirmación oficial de los ataques, los investigadores recomiendan que los usuarios de las empresas y servicios enumerados asuman lo peor y cambien sus contraseñas de inmediato.