Entrada

Foro de ciberdelincuencia: La zona de fuga expuso públicamente las direcciones IP de sus usuarios.

Publicado
Por TheCodic
3 min de lectura

a stock photo of a list of random IP addresses in green text on a computer monitor at an angle

Image Credits:Ignatiev / Getty Images

Un foro autodenominado “fuga y cracking” donde los usuarios publicitan y comparten bases de datos comprometidas, credenciales robadas y software pirata, estaba filtrando las direcciones IP de sus usuarios conectados a la web abierta, según han encontrado investigadores de seguridad.

Leak Zone dejó una base de datos de Elasticsearch expuesta a Internet sin contraseña, según los investigadores de UpGuard. En un artículo de blog compartido con TechCrunch antes de su publicación, los investigadores dijeron que descubrieron la base de datos el 18 de julio y que su contenido era accesible para cualquiera con un navegador web.

La base de datos expuesta contenía más de 22 millones de registros que almacenaban la dirección IP y la marca de tiempo precisa de cuándo los usuarios de Leak Zone se conectaron. Los registros databan de tan reciente como el 25 de junio y la base de datos se actualizaba en tiempo real.

Aunque los registros no estaban vinculados a usuarios individuales, los datos podrían usarse para identificar a los usuarios que se conectaron a Leak Zone sin usar herramientas de anonimización. Algunos de los registros, vistos por TechCrunch, indican si un usuario se cree que se conectó a través de un proxy, como un VPN, lo que puede ayudar a ocultar la ubicación real del usuario.

Leak Zone, que ganó popularidad en 2020, publicita acceso a una “amplia colección de fugas que va desde bases de datos comprometidas hasta cuentas rotas”, refiriéndose a credenciales robadas utilizadas para acceder a las cuentas en línea de una persona. El foro también ofrece un mercado que explícitamente promueve “servicios ilegales”, según la guía del sitio. Una página del sitio web de Leak Zone afirma que el foro tiene más de 109,000 usuarios.

Según UpGuard, el 95% de los registros en la base de datos expuesta se refieren a las conexiones de los usuarios de Leak Zone. El resto de los datos se refieren a cuentas asociadas con AccountBot, otro sitio para vender acceso a cuentas comprometidas utilizadas para servicios de streaming.

TechCrunch verificó que la base de datos expuesta estaba registrando a los usuarios que se conectaban a Leak Zone creando una nueva cuenta y conectándose al sitio. Un registro correspondiente apareció inmediatamente en la base de datos expuesta que contenía nuestra dirección IP y la marca de tiempo exacta del momento en que nos conectamos.

No se sabe por qué la base de datos estaba expuesta públicamente. Los errores humanos o las configuraciones incorrectas son a menudo la causa de las exposiciones de datos, en lugar de acciones maliciosas.

TechCrunch no pudo contactar a los administradores de Leak Zone para obtener un comentario, ya que el software del foro negó nuestra capacidad para enviarle mensajes. No está claro si los administradores de Leak Zone están al tanto de la exposición o si planean notificar a sus usuarios sobre el desliz de seguridad.

La base de datos ya no está en línea, según UpGuard le dijo a TechCrunch.

En los últimos años, las autoridades de EE.UU. e internacionales han estado aumentando sus esfuerzos para perseguir foros de cibercrimen y sitios web por sus roles en facilitar el hacking, el robo de identidad y otras actividades delictivas. Esta semana, Europol anunció que había arrestado al presunto administrador detrás de XSS.is, un foro de cibercrimen ruso de larga data, que también se incautó como parte de una operación de toma de control.

Security cybercrime cybersecurity data breach data exposure Exclusive
Esta entrada está licenciada bajo CC BY 4.0 por el autor.