Twilio ha negado en una declaración que haya sufrido una vulneración de seguridad después de que un actor de amenazas afirmara tener más de 89 millones de registros de usuarios de Steam con códigos de acceso de un solo uso.
Hace pocos días, la cuenta Underdark AI publicó en LinkedIn que datos de más de 89 millones de cuentas de Steam (básicamente un tercio del total) habían sido expuestos, pero que no se trataba de una violación directa de los servidores de Valve, sino a un posible proveedor de servicios de SMS, similar a lo ya ha sucedido en el pasado con Telefónica y/o Movistar y otras empresas locales.
En la publicación original, Underdark AI afirma haber encontrado una publicación de alguien llamado "Machine1337" en un foro de mercado negro de buena reputación, que ofrece vender 89 millones de datos de cuentas de Steam por 5000 dólares.
.jpg)
Esto planteó la pregunta: ¿cómo se produjo la filtración? Al momento de escribir esto, no parece que la gente lo sepa realmente. El primer punto de contacto fue la propia Valve, pero esa no parecía ser la fuente.
Inicialmente se acusó a Twilio, afirmando que esta gestiona los sistemas de doble factor (o autenticación de dos factores, llamado 2FA) de Steam y que la filtración se produjo desde dentro de sus sistemas, pero Valve Corporation y afirmó que nunca había usado Twilio.
Twilio es una empresa de comunicaciones en la nube que proporciona una API para el envío de SMS, llamadas de voz y mensajes de doble factor (2FA), ampliamente utilizadas por aplicaciones para la autenticación de usuarios, pero Valve dejó en claro que no utiliza Twilio. "No hay pruebas que sugieran que Twilio haya sido vulnerado. Hemos revisado una muestra de los datos encontrados en línea y no vemos indicios de que estos datos se hayan obtenido de Twilio."
Al analizar los datos, una posible explicación de su origen es una filtración de un proveedor de SMS que intermedia la comunicación de códigos de acceso de un solo uso entre usuarios de Twilio y Steam. Algunos de los mensajes entregados son claramente códigos de confirmación para acceder a una cuenta de Steam o para asociar un número de teléfono a una.
Al margen de que no se pudo comprobar del todo si la información proviene de un proveedor de SMS, cabe mencionar que algunos de los datos son relativamente nuevos, ya que se descubrió que muchas de las fechas de entrega datan de principios de marzo.
La investigación lógicamente continuará y tarde o temprano se sabrá si el robo 89 millones de cuentas de Steam es efectivamente real, o no. Ante la duda, cambiar el password no está de más si no lo han hecho recientemente.
Coinbase sufre una filtración de datos tras el soborno a trabajadores de soporte subcontratados
Coinbase, la plataforma de intercambio de criptomonedas con más de 100 millones de usuarios, ha revelado que un grupo de atacantes sobornó a empleados de soporte externos y obtuvo información personal de aproximadamente el 1% de sus clientes. Los delincuentes intentaron extorsionar a la compañía exigiendo 20 millones de dólares a cambio de no publicar los datos, y el incidente podría costar a la empresa entre 180 y 400 millones en compensaciones y medidas de contención.
El vector de ataque no fue un exploit sofisticado, sino el clásico, y a menudo subestimado, riesgo interno. Los criminales localizaron a varios agentes de atención al cliente subcontratados en el extranjero (según las primeras pesquisas, en India) y les ofrecieron dinero a cambio de sus credenciales o de que realizasen consultas directas sobre la base de datos de Coinbase. Con ese acceso, los insiders copiaron registros alojados en las herramientas internas de soporte.
Los datos robados incluyen nombre, dirección, teléfono, correo electrónico, los últimos cuatro dígitos del SSN, números de cuenta bancarios parcialmente enmascarados, imágenes de documentos de identidad y un historial resumido de transacciones. No se vieron comprometidas las claves privadas, las contraseñas ni los monederos de los clientes, pero la información filtrada es suficiente para lanzar campañas de suplantación (phishing / vishing) extremadamente creíbles.
Tras detectar accesos anómalos, Coinbase despidió a los implicados, notificó a la SEC y rechazó pagar el rescate. La empresa prevé destinar hasta 400 millones de dólares para reembolsar a usuarios que puedan caer en futuras estafas y para reforzar la detección de amenazas internas. Entre las medidas anunciadas figuran la apertura de un nuevo centro de soporte en EE. UU., la implantación obligatoria de 2FA y la función de "withdrawal allow-list" para cuentas con mayor riesgo.