Violação do banco de dados da T-Mobile expõe dados de 2 milhões de clientes

Senhas roubadas poderiam estar codificadas em MD5

Violação do banco de dados da T-Mobile expõe dados de 2 Mi de clientes. A T-Mobile diz que rapidamente controlou um ataque cibernético contra um banco de dados, mas o incidente pode ter exposto dados pessoais de 2,3 milhões de seus 77 milhões de clientes.

Segundo o site BankInfo Security o hacker responsável pela violação ameaça vender os dados roubados no mercado negro.

T-Mobile diz em comunicado que detectou e bloqueou o ataque ao rapidamente em 20 de agosto, mas o atacante ainda conseguiu obter os nomes dos clientes, códigos postais, números de telefone, endereços de email, números de contas e se as contas são pré-pago ou pós-pago.

Nós levamos a segurança de suas informações muito a sério e temos uma série de salvaguardas para proteger suas informações pessoais contra acesso não autorizado“, diz a T-Mobile. “Lamentamos sinceramente que este incidente tenha ocorrido e lamentemos qualquer inconveniente. Nenhum de seus dados financeiros – incluindo informações de cartão de crédito – ou números da Previdência Social foram envolvidos e nenhuma senha foi comprometida.

Senhas “criptografadas” estavam no lote de dados roubados.

Depois que essa história foi publicada pela primeira vez, o porta-voz da T-Mobile me disse que “senhas criptografadas” foram incluídas nos dados comprometidos. Em seu anúncio original, a empresa disse: “nenhuma senha havia sido comprometida“.

Quando perguntado por que a empresa usou esse texto, o porta-voz disse em uma mensagem: “Porque eles não estavam [comprometidas]. Eles estavam criptografados “.

O porta-voz se recusou a especificar como essas senhas foram criptografadas, ou qual algoritmo hashing foi usado. Horas depois da história ter sido publicada, o pesquisador de segurança Nicholas Ceraolo chegou a afirmar que os dados expostos na violação eram mais do que divulgados pela T-Mobile. O pesquisador compartilhou uma amostra de dados supostamente comprometidos que incluiu um campo chamado “userpassword” e o que parece ser um hash, que é uma representação criptográfica de uma senha. (Ceraolo disse que não estava envolvido no hack, mas obteve a amostra de um “amigo em comum”).

De acordo com dois diferentes pesquisadores de segurança, com quem o site Motherboard compartilhou o hash, a string de senha é codificada com o algoritmo notoriamente fraco chamado MD5, que pode potencialmente ser quebrado com ataques de força bruta.

Hash

A afirmação da T-Mobile de que nenhuma informação de senha foi roubada – e posterior esclarecimento de que senhas criptografadas foram expostas – levou a dúvidas sobre se os dados de senhas roubadas colocam os clientes em risco. Ceraolo compartilhou com o site Motherboard um sample do hash criptográfico que ele conseguiu do roubo da T-Mobile.

Ceraolo disse ao Information Security Media Group que eu compartilhou a amostra com o site Motherboard para criar conscientização sobre a intrusão e ajudar a salvar “pessoas de uma enorme dor de cabeça“.

O site Motherboard relata que é possível que o hash tenha sido criado usando o algoritmo MD5. A publicação passou o hash para Jeremi Gosney, um especialista em segurança de senha e fundador da Terahash, que diz que ainda não sabe ao certo qual algoritmo pode ter sido usado.

Eu só recebi um hash, então não fiz nenhum progresso“, disse Gosney ao ISMG. “Crackear um único hash de milhões é difícil – ainda mais difícil se você não sabe o que é o algoritmo.

A maioria dos provedores de serviços armazena senhas em formato hashes, que são representações matemáticas de uma senha em texto simples. Os hash supostamente são irreversíveis, o que significa que não é possível pegar o hash e descobrir a senha real. Para verificar a senha, o sistema gera um novo hash com a senha entrada pelo usuário e então compara o hash calculado com o hash armazenado, considerando que o hash obtido de uma entrada será sempre o mesmo e que nenhuma outra entrada dará a mesma combinação hash, se a comparação do hash calculado e o hash armazenado forem iguais pode-se atestar que a senha digitada é a senha esperada , portanto positiva.

O problema é que o MD5 não é mais considerado um algoritmo seguro para hashing. Os hashes MD5 podem ser gerados rapidamente para encontrar uma senha correspondente, o geralmente é chamado de “ataque de força bruta” para se descobrir a senha.

Em vista das muitas violações de dados, alguns provedores de serviços estão migrando para o bcrypt, um algoritmo considerado mais resistente a tentativas de cracking. Isso porque as plataformas de quebra de senha não podem gerar hashes bcrypt tão rápido quanto os MD5s. Mas o MD5 ainda é predominante, diz Gosney.

A adoção do Bcrypt ainda é muito baixa“, diz Gosney. “O MD5 é de longe o mais comum“.

Se os hashes de senha vazados do T-Mobile forem de fato MD5, isso pode indicar que a T-Mobile não está acompanhando as melhores práticas de segurança atuais. Que perguntado sobre quantas senhas criptografadas poderiam ter sido expostas, como são hashes de senhas e se usam o não a pratica de “salted”, referindo-se à prática de adicionar dados aleatórios para uma senha antes de hash para torná-la mais difícil de se crackeada, a T-Mobile se recusou a comentar. “Não discutimos publicamente como criptografamos senhas“, diz a empresa.

Outra situação que pode ainda ser explorada, é a inserção do hash diretamente no processo de autenticação. Caso seja descoberta alguma vulnerabilidade que permita ao atacante injetar o hash obtido diretamente no sistema, como se fosse o has calculado, como resultado positivo de autenticação é obtido pela comparação do hash calculado com o has armazenado, a injeção direta do hash levaria o sistema a positivar a autenticação do suposto usuário.  No entanto, nenhuma das notícias verificadas pelo Blog Minuto da Segurança, levantou ou verificou esta hipótese técnica.

 

Número de telefone roubados

A violação da T-Mobile e o subsequente vazamento de informações pessoais dos clientes vêm levantar atenção a respeito do aumentos de invasores que assumem o controle dos números de telefone dos consumidores, no que é conhecido como um ataque de “Sequestro de SIM”.

Uma maneira pela qual o ataque pode ser realizado pela engenharia social em serviço de atendimento ao cliente. Um impostor finge ser o proprietário da conta de celular autorizada, fornecendo as informações de autenticação solicitadas. O número de telefone da vítima pode então ser transferido para um novo cartão SIM mantido pelo atacante.

Os sequestros do SIM são perigosos porque muitos provedores online consideram um número de telefone como uma peça essencial da autenticação. Geralmente, os códigos de verificação em duas etapas são enviados por SMS. Além disso, alguns provedores de serviços enviarão um código via SMS para redefinir uma senha, permitindo que invasores tomem a conta de alguém sem capturar as credenciais de login e ignorando completamente as barreiras de dois fatores de autenticação implementado.

 

fonte: Bank Info Security & Motherboard & T-Mobile

 

Veja também:

 

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!