Hackers extorsionando Webs que aceptan Bitcoins

[Krako]

Hola a todos.

Tristemente acabo de descubrir en mis propias carnes, una desventaja "inesperada" de aceptar Bitcoins en sitios web pequeños como el mío.
Hemos pasado a ser objetivos de hackers a la caza de bitcoins.    

Hoy he recibido este email:

from: strunm@mac.hush.com

Your site has been hacked


Hello.
You webpage has been hacked.
I have your entire database (emails, passwords, phones, addresses, shippings, whatever).
So, this is the deal: you will transfer 25 bitcoins to this bitcoin address: 1K2o3JnDRbPf5tWix7ejCAqqkhCBY8P43Q or I will send an email to all your clients showing them that I have all their data (btw, most of them use the same password for everything so I can access to their emails and paypal accounts).
I promise you that once I get my coins your clients will never know about me, and you can update that shitty security system that you have.
You have 5 days, after that I will start to send emails or hack your clients accounts.

Proof:

Database: xxxxxxx, 33 tables:
  
Table: tbadmin

    full_name  ID  level_id  password  username
    -------------------------------------------
    xxx0   2         xxxxxx   xxxxx
    xxx       3   1         xxxxxx    xxxxx

Some emails and passwords:
  
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@yahoo.es - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@hotmail.com - xxxxxxxxx
    xxxxxxx@yahoo.es - xxxxxxxxx
    xxxxxx@gmail.com - xxxxxxxxx
    xxxxxx@hotmail.com - xxxxxxxxx
    xxxxxx@hotmail.es - xxxxxxxxx
    xxxxxx@gmail.com - xxxxxxxxx

Tal y como podéis leer me han hackeado la base de datos y me extorsionan pidiéndome 25 BTC a cambio de no enviar correos a mis clientes informándoles de que tiene sus datos.

Como comprenderéis ahora mismo estoy un poco de bajón, por decirlo suavemente. Esa base de datos es el fruto de mi trabajo de los últimos 13 años...

Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC, el hecho de aceptar BTC delata al propietario sobre su conocimiento del tema y la posibilidad de tener un monedero  y conocer el funcionamiento de la moneda y te aseguras un recibo del dinero limpio. Vamos que hacer esto con pago transferencia bancaria o paypal es inviable.

Me he decidido a escribir este hilo por dos razones:

1- Alertar a otros propietarios de sitios, para que incrementen la seguridad de sus webs no les pase lo mismo que me está pasando a mi, y tengan en cuenta este tema.

2- Pediros ayuda. Quizás haya por aquí algún experto en temas de seguridad de bases de datos mysql y php que me quiera echar un cable a descubrir el fallo de seguridad  (que según el extorsionista la seguridad de mi web es una mierda) para solucionarlo e intentar que no vuelva a suceder.


Gracias a todos por vuestra ayuda

Saludos

[Polvos]

Yo no tengo ni la menor idea de seguridad en servidores, pero sé lo básico sobre seguridad como usuario.

NUNCA repitáis contraseñas entre distintos sitios web cuando os deis de alta. Así si a algún administrador le roban la base de datos no podrán utilizarla para entrar en sitios más importantes como paypal, tu correo, etc.

Utilizad contraseñas seguras, esto es, largas, que mezclen mayúsculas y minúsculas, cifras y símbolos. Podéis emplear para generarlas y guardarlas algún programa seguro de gestión de contraseñas como el lastpass o el keepass.

Poneos siempre en el peor de los casos. Considerad siempre que vuestro equipo o la web en la que os acabáis de dar de alta está comprometida.

Guardad vuestros ahorros Bitcoin en coldwallets (paperwallets) si no pensáis tradear o gastarlos inmediatamente.

Utilizad siempre que sea posible la doble autentificación de google (google authentificator). Si el servicio en el que queréis daros de alta está relacionado con Bitcoin y no dispone de Google authentificator, ni os molestéis en validaros puesto que en no demasiado tiempo será hackeado y os robarán el dinero.

Con respecto a tu web... yo lo que haría sería adelantarme a ese correo del hacker enviando un aviso por correo sobre el robo de la base de datos a todos tus clientes para que cambien inmediatamente las contraseñas que pudieran haber sido comprometidas, sobretodo si la compartían con otros servicios (blockchain, cliente_qt, Bitfinex, MtGox, Correo, Paypal, etc).

Y después busca a un auténtico profesional para que te asesore sobre seguridad.

[WSDN]

Hola colega lamentable, pero te hago unas preguntas, por donde entraron si sabes alguna funcion o algo en php? que tipo de script usas en tu web? es hecho a la medida o algun soft en particular?, no usas algun tipo de template sin licencia?, suelen traer muchos exploits que la gente cree que se bajo una pagina perfecta y solo bajo mas problemas. Contanos mas por que la verdad me interesa bastante el tema saludos

[Krako]

Hola

Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.

Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.

El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?

Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.

No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.

[Shawshank]

Las razones pueden ser varias. Dos que se me ocurren:

1) ¿Es la contraseña de la base de datos una contraseña fuerte?
2) ¿Tienes el código protegido frente a "SQL injections"? Es decir, utilizas "prepared statements" al llamar a tu base de datos o lo haces concatenando cadenas? Este último punto es MUY IMPORTANTE tenerlo en cuenta.

[haztecoin]

Lo primero que tienes que hacer es lo que dijo Polvos mandar un mensaje a todos tus clientes diciendo que la BDD esta comprometida y que cambien la contraseña.
Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

[Shawshank]

Por cierto, ya puedes hacer una copia de seguridad de toda la base de datos si no lo has hecho ya. Con la misma estrategia de SQL injection, pueden borrártela completamente.

[hugolp]

Lo siento. Si la seguridad informatica fuera mi fuerte probaría a ayudarte.

Obviamente este tipo de extorsión solo puede hacerse con propietarios de webs que aceptan BTC,

Esto le puede pasar a cualquier tienda web, acepte o no acepte bitcoins. Lo que si es cierto es que aceptando bitcoins puede hacerte un objectivo más probable, pero lo que te han hecho a ti se lo pueden hacer a cualquiera que no acepte bitcoins también.

[WSDN]

Hola

Mi web fué realizada desde 0 por una empresa de programación no está basada en templates.

Por suerte nosotros no aceptamos tarjeta de crédito como pago por lo que no tenemos números de tarjetas ni ese tipo de información... menos mal.

El tema es el siguiente: Seamos realistas, las webs "normales" de pequeñas empresas no realizan costosas auditorías de seguridad, en realidad seguramente la mayorías de las webs pequeñas y basadas en plataformas conocidas son muy vulnerables a ataques, ¿pero nadie las ataca porque que interés podría haber en hacerlo?

Sin embargo si anuncias en tu web que aceptas bitcoin, le estas diciendo al atacante que tienes un monedero bitcoin y sabes de que va la cosa. Y ahí se abre la puerta del interés en atacar para poder extorsionar y recibir monedas que nadie va a poder rastrear.

No se que consecuencias me va a traer esto... ni si el atacante cumplirá su amenaza... Obviamnete no voy a pagar, entre otras cosas porque no tengo ninguna garantia de que si pago no me va a mandar otro email dentro de un mes. Que asco de gente.

Hola Krako, lo mejor como dijeron antes, no pagues, si puedes denunciar mejor aun.
Con respecto a lo que mencionas de las web normales de pequeñas empresas por lo general suelen ser un sitio informativo. Ahora si te referis a un sitio de comercio electronico, o cualquier sitio web en general, trata de utilizar algun soft open source, nada es seguro en este mundo, pero por lo general los sitios utilizando tecnologia open source ej wordpress, drupal, typo3, prestashop, y muchos otros cms suelen ser bien mantenidos y con pocos problemas de seguridad recuerda que son millones de usuarios que utilizan dia a dia este tipo de soft y son muchos los colaboradores para mejorar el soft.

Anunciar que tu web acepta bitcoin no quiere decir que tengas tu pagina web ligada al servidor bitcoind y que aceptes bitcoin tampoco quiere decir que tengas muchas ventas en btc, solo paso que vieron tu web, la escanearon y te exploitearon, suele pasar con programaciones chicas como nombras, pero por el solo hecho de que las empresas que realizan este tipo de trabajos desde 0, ya sea por conocimientos o tiempos de desarrollo no suelen asegurar tu aplicacion, tu web por lo menos deberia tener entre otras cosas un archivo htaccess bloqueando los principales archivos de php que tengas.

Mis consejos con respecto a la web
1 - Cambia todas las contraseñas del panel de control de tu hosting como asi las de los mails y bases de datos
2 - Realiza un backup de las db
3 - Quita tu sitio ya que los archivos bulnerables siguen encontrandose ahi.
4 - Podrias colocar un simple html que diga que estas de mantenimiento pero si quita tus archivos del sitio momentaneamente.
5 - Avisales a tus clientes, tomate tu tiempo y diles que te hackearon. Que en estos momentos estas mejorando la seguridad para que esto no vuelva a suceder.
6 - Habla con los que te hicieron la web para ver que solucion te pueden dar, ya que ellos hicieron el sistema y conocen como funciona.

Saludos y esperamos novedades

 saludos

[Krako]

Obviamente le puede pasar a culaquier tienda online, pero es poco probable que pase en tiendas online pequeñas como la mia, ya que hay pocas posibilidades de cobrar en moneda de curso con seguridad.

No ataco a bitcoin solo alerto de lo que me ha pasado a mi, para que quien quiera tome nota y las medidas para que no le suceda a el. Yo no había pensado en que me podía pasar a mi y lo que más me ha llamado la atención ha sido el hecho de que pretenda cobrar en BTC y eso es por razones obvias.

[Danbcf]

Menuda faena Krako, como te han dicho por ahi, lo mejor es que avises a todos tus clientes y automáticamente denuncies el hecho.
Una pena que haya tanto sinvegüenza suelto.

Un saludo y no desesperes, vuelve a intentarlo que de todo se aprende.

[Xaxer]

tienes un privado

[goldfever]

No podes comunicarte con hush . com y pedir datos de ese usuario y directamente ir a la policia y hacer una denuncia, si le pagas seguramente te pedira mas.

[Argen-Coin]

Que fea noticia Krako. Primero que nada decirte que empatizo contigo y entiendo por el terrible momento que pasas 

El segundo asunto creo que es PASAR A LA ACCION, por duro, molesto y complicado que eso resulte.

Haz una lista de los pasos que tienes que tomar y EMPIEZA A EJECUTARLOS.

- Consultar con los desarrolladores ?
- Backapear las bases de datos ?
- Mandar un email al extorsionador pidiéndole 5 días para conseguir 25 bitcoins porque eres pobre y los tienes que comprar ? (eso te suma unos días para lo que tengas que hacer).

- Avisar a los usuarios ?
- Pasar tu sitio a otro desarrollo ? (o mejorar el actual ?)

Con la lista y la secuencia de pasos PONTE EN MARCHA DE INMEDIATO y, al cabo de unos días y con todas las tareas hechas -por duras que resulten- esto será un mal trago que habrá quedado atrás... y en el camino tu seguridad MEJORARA lo que, a la larga, será un beneficio para ti.

[joeperry]

Puesss yo mañana haria cola en delitos informaticos det la guardia civil y por supuesto intenta ganar algunos dias.

[WSDN]

Puesss yo mañana haria cola en delitos informaticos det la guardia civil y por supuesto intenta ganar algunos dias.

Si eso imprecindible pero fijate bien de llevar tus cuentas en orden, ya que tenes un sitio de venta de bienes online. saludos

[prm]

Yo quería implementar el cobro por bitcoin en mi nuevo proyecto, pero viendo esto... buff

Aunque si se puede mejorar la seguridad y hacer lo que comenta el compañero:

Lo segundo es que la BDD. no guarde las claves de los clientes es mejor que guarden un hash de la clave, es más seguro. Otra opción es cifrar los datos de la BDD. Para que en caso de que logren acceder a ella no puedan hacer gran cosa.
Seguramente han usado inyección SQL para acceder al sitio, suele ser lo más usual y más fácil.

WSDN, ¿qué te parece?

[Krako]

Os agradezco a todos vuestras palabras de ánimo, de corazón os lo digo. Estoy pasando un día muy malo y hasta tengo los ojos vidriosos...

Lo primero que he hecho esta mañana ha sido ir a la Guadia Civil a poner la denuncia. Eso está hecho. Tengo copias de las BBDD y estoy haciendo una copia del sitio en su totalidad. También lo he puesto Offline y he cambiado todas las contraseñas BBDD FTP hosting todo.

Tengo una newsletter lista para enviar a cada uno de mis 10000 usuarios registrados explicándoles la situación pero hasta eso es dificil de plantear... Lo enviaré por la mañana cuando encuentre las palabras para poder explicar lo sucedido. No es fácil.

Respecto al pago en ningún momento me he planteado pagar... Lo he valorado 1/2 segundo al principio con el shock inicial pero NO VOY A PAGAR.

Ahora mismo mi máxima preocupación es encontrar el fallo de seguridad y arreglarlo, pero eso es lo más difícil de conseguir yo no tengo los conocimientos para hacerlo por mi mismo e Internet está lleno de peces y va a ser muy difícil encontrar a quien pueda y quiera solucionarme este tema en los que a la web se refiere.

Por eso agradezco de corazón cualquier ayuda de algún experto que me lea esto. Buscar un profesional que me arregle este tema en una web modesta no es facil y es lo que más preocupado me tiene en este minuto.

Os envío un saludo a todos

[Gilito]

No tiene nada que ver con los bitcoins. Por desgracia la extorsión a negocios online es algo bastante normal y que acepten bitcoin es indiferente. Es algo que se hace desde mucho antes de que existiesen criptomonedas. Lo único que permite el bitcoin es prescindir de muleros u otros medios de pago más complicados.
Sinceramente si la web la diseñaron profesiones habla con ellos y que se involucren. Y si fue un amateur de los que hacen webs por 300 euros asume tu responsabilidad y no culpes al bitcoin.

[vgo]

Esta claro que si mañana pagas, pasado mañana volverán a por mas.

Animo, espero lo soluciones de la mejor manera posible.