Posible filtración de datos

Diego_Albelo · 4 Septiembre, 2022 20:01

Buenas tardes, buenas noches, buenos días. Les pido asesoramiento porque me llegó un correo que me alertó sobre una posible filtración de datos personales que tengo en lastpass.com. Lastpass me envió un correo sobre una filtración de sus datos el 25/8: alerta de seguridad.jpg and 3 other files | Files.fm.">

"Le escribimos para informarle que recientemente detectamos una actividad inusual en partes del entorno de desarrollo de LastPass. Determinamos que una parte no autorizada obtuvo acceso a partes del entorno de desarrollo de LastPass a través de una sola cuenta *de desarrollador comprometida y tomó partes del código fuente y cierta información técnica patentada de LastPass. * *No tenemos evidencia de que este incidente involucre acceso a datos de clientes o bóvedas de contraseñas encriptadas. * Nuestros productos y servicios están funcionando con normalidad.

*En respuesta, iniciamos de inmediato una investigación, implementamos medidas de contención y mitigación, y contratamos a una * *firma forense y de ciberseguridad líder. Si bien nuestra investigación está en curso, hemos logrado un estado de contención, * implementamos medidas de seguridad mejoradas adicionales y no vemos más evidencia de actividad no autorizada.

*Con base en lo que hemos aprendido e implementado, estamos evaluando más técnicas de mitigación para fortalecer nuestro entorno. * Continuaremos actualizando a nuestros clientes con la transparencia que se merecen.

*Hemos creado una publicación de blog dedicada a proporcionar más información sobre este incidente: * Notice of Recent Security Incident - The LastPass Blog

*Le agradecemos su paciencia mientras trabajamos con rapidez para completar nuestra investigación y lamentamos cualquier * inquietud que esto pueda haberle causado."

En ese momento no le di mucha importancia hasta que mi esposa me dijo que le había llegado un mje de ingreso a su correo que no había sido ella y tuvo que cambiar su clave, luego me llegaron los mensajes de alerta de seguridad a otros correos que tengo de hotmail, un ingreso inusual a mediafire (el 26/8) y finalmente el siguiente mensaje de amenaza el 3/9:

*"¡Saludos! Tengo que compartir malas noticias contigo. Hace aproximadamente unos meses, obtuve acceso a sus dispositivos, que utiliza * *para navegar por Internet. Después de eso, comencé a rastrear sus actividades en Internet. * Aquí está la secuencia de eventos: *Hace algún tiempo, compré acceso a cuentas de correo electrónico de piratas informáticos (hoy en día, es bastante simple * comprarlo en línea). Me las arreglé fácilmente para iniciar sesión en su cuenta de correo electrónico [email protected]. *Una semana después, ya instalé el “Beacon” de Cobalt Strike en los sistemas operativos de todos los dispositivos que usa * *para acceder a su correo electrónico. No fue nada difícil (ya que estabas siguiendo los enlaces de los correos electrónicos * *de tu bandeja de entrada). Todo lo ingenioso es simple. :). * *Este software me brinda acceso a todos los controladores de sus dispositivos (por ejemplo, su micrófono, cámara de video y * teclado). He descargado toda su información, datos, fotos, videos, documentos, archivos, historial de navegación web a mis servidores. Tengo acceso a todos sus mensajeros, redes sociales, correos electrónicos, historial de chat y lista de contactos. Mi virus actualiza continuamente las firmas (se basa en controladores) y, por lo tanto, permanece invisible para el software *antivirus. Del mismo modo, supongo que ahora entiendes por qué no me han detectado hasta esta carta. * *Mientras recopilaba información sobre usted, descubrí que es un gran admirador de los sitios web para adultos. Te encanta * *visitar sitios web de pornografía y ver videos emocionantes mientras soportas una enorme cantidad de placer. Bueno, logré grabar * varias de tus escenas sucias y monté algunos videos que muestran cómo te masturbas y alcanzas el orgasmo. Si tiene dudas, puedo hacer unos pocos clics con el mouse y todos sus videos se compartirán con sus amigos, colegas y familiares. *Teniendo en cuenta la especificidad de los vídeos que te gusta ver (sabes perfectamente a lo que me refiero), * te provocará una verdadera catástrofe. Tampoco tengo ningún problema en ponerlos a disposición del público (filtrados y expuestos todos los datos). Reglamento general de protección de datos (GDPR): según las normas de la ley, se enfrenta a una fuerte multa o arresto. Supongo que no quieres que eso suceda. Vamos a resolverlo de esta manera: *Me transfieres $ 1645 USD y una vez que se recibe la transferencia, eliminaré todas estas cosas sucias de inmediato. * *Después de eso, nos olvidaremos el uno del otro. También prometo desactivar y eliminar todo el software dañino de sus * dispositivos. Confía en mí. Mantengo mi palabra. *Es un trato justo, y el precio es relativamente bajo, considerando que he estado revisando tu perfil y tu tráfico * durante algún tiempo. Si no sabe cómo comprar y transferir Bitcoin, puede usar cualquier motor de búsqueda moderno. Debe enviar esa cantidad aquí billetera Bitcoin: 1P33tusXQJa54TJ4whpc2aqspc9kTUV2ik (El precio no es negociable). Tienes 2 días para realizar el pago desde que abriste este correo. ¡No intentes encontrar y destruir mi virus! (Todos sus datos ya están subidos a un servidor remoto). No intentes contactarme. Varios servicios de seguridad no lo ayudarán; formatear un disco o destruir un dispositivo tampoco ayudará, ya que sus datos ya están en un servidor remoto. Este es un grupo de piratería APT. No te enojes conmigo, cada uno tiene su propio trabajo. Supervisaré todos tus movimientos hasta que me paguen. Si cumples con tu parte del acuerdo, no volverás a tener noticias mías. ¡Todo se hará de manera justa! Una cosa más. ¡No te quedes atrapado en situaciones similares en el futuro! Mi consejo: siga cambiando todas sus contraseñas con frecuencia."

Quiero verificar cuan real es porque hay mucha información en lastpass si se filtró, ¿que puedo hacer?

Binnish · 4 Septiembre, 2022 22:59

No creo que te vayamos a poder ayudar en estos foros.

Lo que comentas se sale de nuestro hábito normal. Solemos ayudar a individuos; pero el tema de leaking tan grande ni idea.

Yo cogería un ordenador no compremetido; y desde este mismo cambiar todo.

Es una sugerencia.

NoseQuePonerAqui · 5 Septiembre, 2022 21:09

OH dios mío lo he leído todo… a ver yo también hace poco me enteré que LastPass fue hackeado accediendo desde la computadora de uno de los que trabajaban en dicha compañía, según LastPass no debería de pasar nada ya que todas las contraseñas están encriptadas pero… con eso que dices no parece ser así (cosa que parece lógico si LastPass ha mentido para que no queden en banca rota)

Y bueno ese usuario que te mando dicho correo ha hablado mucho pero no te ha dicho ningún dato personal cierto? a lo mejor es puro scam para que piques

A ver si mas gente del foro puede dar su opinión

Pero sinceramente nadie quisiera que su gestora de contraseñas fuera hackeado y luego tener inicios de sesión sospechosos después y recibir dicho correo…

Mi consejo es… si se aclara/soluciona todo esto, entonces cambias el gestor de contraseñas, yo uso Dashlane pero me voy a pasar a Bitwarden

Por cierto, que antivirus tienes instalado?

Marr0n · 5 Septiembre, 2022 22:01

Hola buenas y con permiso de @NoseQuePonerAqui @Binnish y tuyo @Diego_Albelo

Ese aviso que ha recibido es falso. Puede parecer verdadero, pero no lo es. Lo sé por muchas cosas varias que he analizado rápidamente de este mensaje que ha puesto el user @Diego_Albelo

Pero llegar a explicar el porqué me llevaría mucho rato, incluso tengo temas míos en el foro que tengo que tirar adelante y últimamente tengo 0 tiempos para ellos.

Pero es falso, es del tipo esto: https://forospyware.com/t/se-filtran-los-datos-personales-del-92-de-los-usuarios-de-linkedin/23847 y del tipo esto que comenta ElPiedra: ‘This account has been hacked!’ la estafa por correo electrónico que intenta chantajearte por Bitcoins

Lee todo el tema. Incluida la conversación entre Pablo y muf y mírate esto entero también: https://www.osi.es/es/actualidad/avisos/2021/06/nueva-campana-de-sextorsion-nadie-ha-instalado-un-software-espia-en-tu

Una vez hayas mirado todo @Diego_Albelo

Me comentas.

P.D.: Si te lo miras bien. Verás que es el mismo vector de ataque o muy parecido, pero cambiando la empresa de turno a LastPass.

Salu2.

Diego_Albelo · 6 Septiembre, 2022 00:43

Gracias @Marr0n. Leí los links y me quedo mas tranquilo, el correo que me llegó es similar a los mencionados anteriormente. Sin embargo debo admitir que me intranquilizó porque mas allá de la amenaza (que no menciona a lastpass en ningún momento) algunas cosas si son reales, que se filtró propiedad intelectual de esa página (pero aparentemente no tiene comprometidos los datos de sus usuarios), los ingresos que hubo a los correos de mi esposa y míos y a mediafire en los que me avisaron, y vi videos de como infiltrarse con Cobalt Strike y es relativamente sencillo para el que sabe. Voy a seguir con la guía de ayuda Guía de detección y eliminación de Malwares 2022), por las dudas y porque no tengo antivirus. Cualquier novedad les comento. Gracias a todos!!

Marr0n · 6 Septiembre, 2022 01:25

De nada @Diego_Albelo

Ok.

Por eso te dije vectores de ataques parecidos, aunque no lo mencionen como tal, es como esos emails que se recibían típicos del banco tal o del banco pascual. Pues por estadística con algún usuario cuadrará + o - en mayor o menor medida coincidirá por estadística y será o ganará más credibilidad.

Bueno, hay técnicas para poder llegar a simular esto. Es decir, heyyy mira que estoy dentro de tu cuenta y te envío tal email desde dentro mismo y tú miras y te sale tu email enviado hacia tu mismo. Realmente, en la mayoría de casos es más probable que no estén dentro de tu cuenta, que realmente lo estén. Lo que pasa que es una técnica un poco más sofisticada, pero que hace que el ataque gane mucha credibilidad. Puesto que ves que el email procede de tu misma cuenta y entonces te acojonas, ya no piensas de manera racional, sino irracional e ilógica. Es lo que ellos quieren, que pienses lo menos posible, que en un periodo de tiempo muy corto te agobies, se te nuble el juicio y sin pensarlo mucho, pues que pagues lo más rápido posible.

Sí, bueno, pero los chicos malos también juegan con la mente delas personas, saben de psicología + o - y de la mente humana también un poco. Pero sobre todo de Ingeniería Social y si te fijas, en esos redactados también utilizan eso.

Ok. pues entonces sino tienes antivirus y visto lo visto, de todas formas yo te recomendaría lo siguiente:

Activa el 2FA o MFA o similar en todas tus cuentas, mejor si este puede ser por TOTP, bien sea por HardWare Puro o por Móvil APP. Por email o SMS no te lo recomiendo, pero si es lo que te ofrece tal u otra plataforma, pues es lo que hay. Lo mejor es el 2FA o MFA puro por llave de HardWare, es el más seguro. Ojo en este tipo no hay ningún código numérico ni nada de nada, sino que es la llave de HardWare inyectada o gravada directamente en la cuenta o cuentas deseadas. POr desgracia, hoy en día aún hay muchas plataformas que no implementan este método. Pero si él: TOTP, SMS o email (en realidad si es un 2FA por email realmente no es un 2FA correcto hablando conceptualmente, está mal diseñado de base).
Cambia de todas formas todas las Pass de todas tus cuentas y que estas sean complejas y que no cumplan ningún patrón. Que tengan números, letras mayúsculas y minúsculas y caracteres especiales y que tengan una longitud de 15 o más caracteres.
Si quieres usar algún gestor de Pass, léete esto: Best Free Password Manager & 2FA Tools in 2023 (Yo recomiendo cualquiera de los 3 de en medio sobre los 5).
Abres un nuevo tema en el foro de Eliminar Malware para asegurar que tu máquina este libre de bichos varios. Pues podrías tener algún bicho al no tener antivirus, pero no el que se decía en esos emails. De todas formas sí, haz la guía de quitar malware, creas el tema y publicas allí los resultados y comentas. Si puedo yo te ayudaré o algún compañero.

Salu2.

Diego_Albelo · 6 Septiembre, 2022 01:57

Si, en los que puedo tengo el factor de doble autenticación (binance, uphold, airtm, lastpass) veré como hago con las que no tienen, igualmente las contraseñas no son fáciles de descifrar, son combinaciones de caracteres alfanumericos y ninguno se repite, para ello uso el gestor de contraseñas hace un par de años, igualmente veré de migrar la información a otro por las dudas. Sigo las indicaciones de crear un nuevo tema. Muchas gracias. Salu2

Marcelo · 6 Septiembre, 2022 16:53

Hola @Diego_Albelo,

Los hackeos a servicios online/empresas para el robo de info es algo de todos los días… de hecho, poder mirar en sitios como HaveibeenPwned que muestran los datos expuestos y se puede mirar si tu email ha sido expuesta anteriormente.

Ahora bien, como bien te comento el compañero @Marr0n - el otro mensaje es falso y esto también se viene realizando desde hace bastante tiempo con el mismo modus-operandi - podes ver el siguiente tema en el foro en donde hablamos un poco de esto:

‘This account has been hacked!’ la estafa por correo electrónico que intenta chantajearte por Bitcoins

Que se puede hacer… pues del lado del usuario, lo único que podemos hacer es activar el 2FA (segundo factor de autentificación) - y cuando nos enteremos que alguna de estas empresas fue hackeada… cambiar nuestras contraseñas.

Salu2

PD//CobaltStrike es una de las herramientas “legitima” pero que utilizan los hacker con mas frecuencia… usualmente para acceder a moverse lateralmente entre la network de una empresa… es muy poco común que se utilize contra usuarios y de todas maneras cualquier antivirus o una pasada con Malwarebytes a tu equipo, tendría que ser capaz de detectarla si estuviera ahi.