Hackean Punto.pe y publican datos de todos los usuarios del servicio (incluidas contraseñas)
La base de datos de usuarios de Punto.pe, website de la RCP encargada de administrar todos los dominios con extensión .pe (,com.pe, .edu.pe, etc) fue hoy hackeada por un mal llamado grupo de «activistas», quienes no contentos con mostrar la falla de seguridad en el sistema, publicaron la base de datos completa de usuarios, la cual incluye nombres, direcciones, emails, números de DNI y contraseñas de acceso a las cuentas de miles de propietarios de estos dominios (me incluyo).
Todos los dominios .PE Owned by #Lulzsecperu , Saludoshttp://t.co/n2j4y8JP
— Lulz Security Peru (@LulzSecPeru) October 20, 2012
Los autores del hecho fueron del grupo Lulz Security Pery, quienes anunciaron el hecho en Twitter para luego proceder a publicar en Paste.bin un mensaje con un enlace a la base de datos completa de usuarios.
Cyber-rat & Desh501
Database Dump: www.punto.pe
Todos los dominios del Peru Owned by #Lulzsecperu #fuckdivindat
All Peruvian .PE domains owned.
Dentro de los users hay accounts de los dominios de todos los bancos del Peru y empresas de seguridad informatica ademas de universidades reconocidas ,instuciones del Gobierno y sistema de seguridad nacional.
Aclaramos que no tenemos fines malicioso , solo probar que la seguridad del Peru es nula y debe corregirse.
Saludos a la division de delitos informaticos de la Policia Nacional del Perú que desde Marzo del 2012 su actividad es nula y no logran ni estar cerca de donde estamos y a ASBANC por el intento.
Punto.pe reaccionó poco después mediante un comunicado anunciado en su cuenta de Twitter, en el cual indican que hace unos meses sufrieron ataques de seguridad que los obligaron a tomar medidas, y asegurando que ninguna de las claves filtradas era válida para acceder a cuenta alguna.
Comunicado del Punto.pe sobre seguridad de información de nombres de dominio .pe http://t.co/izv6CX7X
— puntope (@puntope) October 20, 2012
Esto, sin embargo, no es del todo cierto. Manejo varias cuentas en punto.pe y si bien es cierto las claves listadas en la base de datos filtrada no son las actuales claves de acceso a mis cuentas, en un par de casos esto no fue así. En dos de mis cuentas las claves en la BD filtrada eran exactamente las que uso para acceder a esas cuentas, en las cuales afortunadamente mantenía muy pocos dominios (en una de las cuentas no tenía nada). Sin embargo, aparecía un mensaje indicando que la clave había caducado y que debía obtener una nueva, lo que soluciona el problema ya que esto implica confirmar el cambio de contraseña vía email.
Aún así, creo que otro problema de este acto ilegal por parte de dicho grupo es que ahora los spammers tienen disponible otra base de datos segmentada de usuarios al cual atacar. Punto.pe, por supuesto, tienen también gran parte de responsabilidad en este hecho por no tomar las medidas necesarias para evitar que información que supuestamente es confidencial termine filtrándose de esa manera.
Por lo pronto, si tienen una cuenta de usuario con dominios registrados en punto.pe, les recomiendo ingresar y cambiar su contraseña. Más aún, si utilizan la misma contraseña, email y/o usuario para diferentes servicios web, procedan a cambiarlas para evitar problemas! Como experimento, filtré de la base de datos hackeada de Punto.pe todos aquellos emails de Hotmail, los cuales suelen ser muy vulnerables pues usuarios de este servicio en general no tienen muchos conocimientos en lo que a seguridad se refiere. Luego de probar por 15 minutos la combinación email / clave punto.pe en Hotmail, logré acceder a una cuenta de Hotmail. Más aún, con ese acceso pude acceder a la cuenta punto.pe y configurar una nueva clave. Afortunadamente, ese usuario no tenía ningún dominio .pe registrado y aún si lo hubiera tenido no era mi intención hacer nada con esos datos, pero si en 15 minutos logré acceder a una cuenta, imaginen lo que puede hacer una persona con todo el tiempo del mundo y malas intenciones!
Enlace: Punto.pe