Gemini sufre una brecha de seguridad en emails/teléfonos de sus clientes (5,7 M)

[DdmrDdmr]

Casi que podría copiar/pegar/adaptar el contenido de un hilo reciente sobre la misma temática sucedida con Cointracker …

El caso es calcado realmente:

Un proveedor tercero, no nombrado, ha sido la causa de que se filtren datos de contacto de 5,7 millones de clientes de Gemini, filtrándose los emails y teléfonos de los mismos, pero nada adicional respecto de la tenencia ni saldos de los clientes. Como en el caso de Contracker, los teléfonos son parciales y (supuestamente) no completos, al figurar ofuscados. Los clientes de Gemini ya están reportando recibir correos de phishing/malware.

Según la descripción, y la coincidencia en el tiempo, tiene pinta de que el proveedor externo impactado sea nuevamente Sendgrid de Twilio.

[1714671085]

1714671085

[1714671085]

1714671085

[1714671085]

1714671085

[Porfirii]

Pues otra más, al final el KYC obligatorio es lo que conlleva. Y hablamos de Gemini, no de ninguna empresa de nueva creación. También es cierto que la cantidad de datos de esta empresa es mucho más "jugosa", pero precisamente por esa razón deberían tener una mayor seguridad.

A la empresa que ha filtrado los datos se le debería caer el pelo, y a Gemini también deberían exigírsele responsabilidades.

[DdmrDdmr]

En estos dos últimos casos, Gemini y Cointracker, los datos filtrados, siendo grave, son limitados en extensión. No obstante, aún podría ser peor, y el algún caso pasado similar con otra compañía, recuerdo haber leído que lo fue con la inclusión de información de saldos de los clientes.

Digamos que estas plataformas de email/sms márketing pueden ser muy básicas, o más avanzadas con capacidad de filtraje por diferentes conceptos. También depende dónde montes la selección de los datos de la campaña: en el entorno corporativo o en el de email/sms marketing.

Yo sigo sin entender por qué no se incita mucho más al 2FA en este tipo de plataformas, tanto para empleados propios como clientes corporativos, de manera que el acceso a los datos esté protegida adicionalmente por este mecanismo, y no sólo por meras credenciales tipo login/password. Obviamente no es infalible, pero complica sustancialmente la situación a los malhechores.

[seoincorporation]

Si el mismo proveedor esta implícito en ambos ataques entonces no creo que sea una coincidencia, esto suena mas como un 'Trabajo interno'. Tal vez algún ex-empleado haciendo alguna venganza en contra de la empresa. Y creo que estos dos ataques marcarán un antes y un después, ya que las empresas tendrán que ser mas consientes en el tema de que tanto acceso a la información ceden a las aplicaciones de terceros.

[DdmrDdmr]

Hay varios usuarios que reportan haber sufrido intentos de phising semanas atrás sobre el email que tenían vinculado a Gemini de manera única. Incluso otro que reporta haber recibido un sms seguido de una llamada a su número con un intento de timo.

Los casos reportados de email también apuntan a que la brecha de seguridad fue anterior al momento de anunciarse el suceso por parte de Gemini, y cuando unos días entre los sucesos y el anuncio puede ser normal, un lapso de varias semanas es una imprudencia de cara a sus clientes, dándoles más margen a los malhechores para actuar sin que los clientes estén sobre aviso.

En el caso del sms y la llamada, la persona que lo reporta afirma que la conversación le llevó al timador a confesar que los datos los habría obtenido de esta fuga de datos. De ser así, no todos los teléfonos serían parciales como se indica.

Ver: https://es.cointelegraph.com/news/crypto-users-claim-gemini-email-leak-occurred-much-earlier-than-first-reported

[Porfirii]

Pues muy bonito todo, menuda historia.

A mí ya lo de que te intenten estafar por teléfono me parece de película. Que me manden un mail, pues meh, ya entra bastante m* de normal. Por SMS ya me parece mucho más intrusivo. Pero que con toda su sangre fría te llamen por teléfono es next level.

[DdmrDdmr]

Según podemos ver en el enlace abajo referenciado, la BD con los 5,7M de registros la vendían , cuanto menos inicialmente, por … 30 BTCs …

Pero hay más. Resulta que la primera vez que se vio un anuncio vendiendo la BD fue el 22/09/2022; es decir, casi tres meses antes de que Gemini emitiese un comunicado al respecto avisando a sus clientes. Eso es una flagrante falta de competencia por parte del Exchange y/o de su proveedor tercero, dado que los datos llevan meses circulando sin que los usuarios estén sobre aviso, con el consiguiente incremento de riesgo para los perjudicados.

La BD parece que hoy por hoy circula de manera gratuita, y aunque el artículo especula que no se llegó a monetizar su venta, tampoco veo manera de demostrarlo.

Un detalle más es que, aparte de los emails de los clientes, se proporcionaba el teléfono de los mismos en formato 123-xxx-7890, faltando 3 dígitos del mismo en las posiciones citadas.

Ver: https://www.bleepingcomputer.com/news/security/hackers-leak-personal-info-allegedly-stolen-from-57m-gemini-users/

[Porfirii]

<...>

Un detalle más es que, aparte de los emails de los clientes, se proporcionaba el teléfono de los mismos en formato 123-xxx-7890, faltando 3 dígitos del mismo en las posiciones citadas.

Ver: https://www.bleepingcomputer.com/news/security/hackers-leak-personal-info-allegedly-stolen-from-57m-gemini-users/

Pues, a no ser que hayan podido cruzar datos de distintas fuentes para identificar los teléfonos, averiguar cada uno de ellos supondría unos 1.000 intentos, lo cual no parece viable como vía de ataque.

Una vez que el filtrado se ha hecho vox populi, que el listado estará circulando de manera gratuita por la red ya no me extraña, parece que es la tónica habitual con estos datos hoy en día. Pero que se hayan publicado no significa que su tenencia deje de ser ilícita, así que ojo con la curiosidad.

[DdmrDdmr]

<…>

Efectivamente, con un teléfono parcial de la manera que indican que figura, poco provecho directo se le puede sacar sin cruces de BDs. Otra cosa es que el registro contuviese información suculenta como saldos elevados en criptomonedas, y que algún malhechor pudiese entonces invertir tiempo en hacer una acción targetizada, o tirar de SMS con todas las posibles combinaciones. No obstante, para el caso, no lo veo sucediendo.

Sí que queda en la retina el usuario que afirma que le llamaron, utilizando para ello información del hackeo de Gemini (o su proveedor más bien) según su conversación con el timador, pero habría que ver múltiples casos reportados que apuntasen a lo mismo, no fuese que la respuesta del timador fuese inducida por la víctima (algo del estilo de "¿no habrás obtenido los datos del hackeo de Gemini?") y no fuese certera como origen.

[famososMuertos]

Deberían al menos hacerlo formal en sus ToC; "sus datos no serán compartidos voluntariamente con terceros pero de ocurrir una brecha , es muy posible que se le notificará en un lapso de x días o el que tengamos a conveniencia...".

No es que tal cosa no exista en el tecnicismos legal para una gran mayoría de exchange pero no se expresan o no se hacen entender hasta que punto pueden "ocultar" o reservarse la notificación formal, que es un absoluto derecho formal y legal.

Que en mi caso de "sorpresa" es el punto aquí, lo tardía que fue la notificación.

Dónde está la jurisdicción en la protección de datos ( y fondos) en este caso y en tantos otros que hemos visto.

Existe, pero en cada caso que uno se entera de este tipo, el lado contrario no se manifiesta o al menos uno no se entera, por no decir que a sabiendas es cero.

Si uno investiga en qué hacer si es afectado ( aunque sabemos que tal proceder es una patada en las bolas, sorry, burocracia inútil, o más formal decir, risa de un funcionario mirándote fijamente con una leve sonrisa y en su mente, pinche pendejo. No soy mexicano pero esa expresión me gusta) se encuentra con el que existe basamentos legales al menos en la idea, así que dependiendo del interés de cada quien se pueden conseguir distintas fuentes, aquí una genérica    
https://es.wikipedia.org/wiki/Protecci%C3%B3n_de_datos_personales

Y para mencionar en el correlativo del tema asociado, fondos, que tiene consecuencias en pérdidas de los mismos por la vía del hackeo, extorsión, manipulación sin mencionar la distracción sicológica o ansiedad que pudiera ocasionar, en estos casos no existe nada específico que se relacione directamente al menos con fondos criptos.

Y he aquí el hecho irónico del todo que nos ha traído hasta aquí, Bitcoin, blockchain, criptodivisas...

... Si uno profundiza en el tema Fondos, puede encontrarse con que los montos que corresponden a la banca tradicional quizás un millonario puede sucumbir de un infarto en la cantidad que por ley garantizan, al menos para los bancos estadounidense, pero que para el común de los mortales ronda los $250.000, según la propia FDIC (siglas en inglés)(https://www.fdic.gov/resources/deposit-insurance/brochures/insured-deposits-spanish/index.html).

En fin, para encauzar; el asunto con estas bases de datos es el largo plazo, muchos no sufren el efecto ahora si no tiempo después, también a descuido en cierta manera por parte de quienes no actualicen la información pertinente.

[DdmrDdmr]

<…>

En España, por poner un ejemplo, se debe comunicar la brecha de seguridad a la autoridad de control en un plazo de 72 horas desde tomar conciencia del incidente, y comunicarlo sin dilación a los clientes cuando el riesgo derivado es grave (habría que ver exactamente qué se tipifica como grave y qué no, oeri bueno).

Más allá de los procedimientos normativo/administrativos que pueda tener cada jurisdicción al respecto, variopintas a buen seguro, este tipo de brecha de seguridad donde un proveedor tercero es el origen de la misma, es algo recurrente. A tales efectos, siendo la casuística nada nueva, ambas partes (contratante y contratado) deberían tener bien articulado tanto las medidas de protección existentes, como los procedimientos en plazo y forma de comunicarse dichas incidencias.

Digamos que, si una va a subcontratar servicios, el contrato debería de reflejar condiciones al respecto de manera explícita. Yo por lo menos sí he visto clausulas al respecto explícitas, con plazos y forma, amén de requisitos de seguridad exigidos de antemano para poder trabajar ejerciendo de tercero.

[famososMuertos]

..//..::
Y es que la contrata de terceros tiene esa finalidad legal, al extendido de cargas pasivas, una metodología muy aplicada en el siglo XXI (99%), donde empezando por la que hace el café es dependencia de un tercero.

Es muy conveniente que a pesar de que a cualquier perdida de datos, el tercero brilla en el tema, con el supuesto de "ah! no sirve el tercero que contratamos..." la brecha fue culpa del "x" y es lo que es, pero es pedo de ellos (Gemini, en este caso pero igual en cualquier otro) no del usuario final que debe mirar a Gemini por ser tan negligente de no subcontratar al mejor tercero.

Lo irónico de algunos casos (empresas) no se si en este sucede, pero esos terceros son creados por las compañías principales, no hay nada aparente que los relacione, solo el intangible fondos Fiat que pasan por el entramado legal para fondear estas empresas clásicas de servicios terciarios.

[DdmrDdmr]

Estaba pensando que, una vez externalizas los datos sobre una plataforma de terceros de esta naturaleza, aun en el supuesto de que pudieses cargar los datos para cada campaña de envío y borrarlos inmediatamente después del envío (*), a buen seguro que quedan logs en el sistema con los datos de todos los envíos. Es decir, aunque el punto de vulnerabilidad que estamos viendo últimamente está en el operativo de la propia plataforma, siempre es posible que queden los datos de los clientes incluidos en logs y copias de seguridad realizadas. Estos últimos no son poco habituales verlos en filtraciones, pero son puntos factibles de filtración.


(*) El tema es que estas plataformas eran antes más de uso puntual sin lógica adicional más allá del envío en sí. No obstante, de un tiempo aquí, muchas proveen cierta lógica que puedes implementar a modo de reglas "CRM" de envío (ej/ si ha abierto el correo, enviarle otro recordatorio a los X días, o no enviarle un comunicado si ya se le ha enviado en los últimos 15 días). Estas reglas son deseables bajo el punto de vista del gestor de la campaña de comunicación, pero al ubicarse muchas veces en la plataforma del proveedor tercero, suponen que los datos de los cliente deban dejarse allí para poder ejecutar las reglas.