Brevenotas Vulnerabilidad en sistema claveunica permitió ingreso de desconocidos a la base de datos

En una noticia en desarrollo, información aportada por el medio "El mostrador" indica que nuestros datos fueron robados. En particular se trata de la base de datos de clave unica, esa que te permite desde sacar tu permiso para movilizarte en cuarentena hasta pedir tu certificado de deudas.

La recomendación como en caso de cualquier vulneración de claves, es proceder a cambiarla. Como siempre rásquense con sus propias uñas.

1602679985700.png

mail publicado por el mostrador donde se solicita a funcionarios cambiar su clave "en el marco del mes de ciberseguridad"


El escuadrón de Capa9 indica que hace un tiempo alguien en twitter había reportado una falla. Será la misma


Fuente: El mostrador
 

Archivo adjunto

  • 1602680110129.png
    1602680110129.png
    194,2 KB · Visitas: 84
Esto es ahora último. Mi clave era "carito01" (la cambié obviamente ante todo esto).
Era una clave unica (no pun intended), utilizada solo en este sistema y la active hace como 4 años.
El problema de esto, es que esa clave ha aparecido en 1303 veces en hackeos anteriores. Es decir, cuando esten buscando clave, incluso por fuerza bruta, no es poner aaaaa, y luego aaaab, sino usan claves reales filtradas y ven que cae.

 

Pab1o

twitter.com/PabloEnLinea
- Mis claves son distintas para cada sitio, las centralizo en Google. ¿Que podría malir sal?.

- Pero señor, Google espía las conversaciones para vender su publicidad.

Enviado desde mi moto g(6) plus mediante Tapatalk
 

clusten

ADMIN
Miembro del Equipo
ADMIN
El problema de esto, es que esa clave ha aparecido en 1303 veces en hackeos anteriores. Es decir, cuando esten buscando clave, incluso por fuerza bruta, no es poner aaaaa, y luego aaaab, sino usan claves reales filtradas y ven que cae.

Eso lo se y como todo, hay que ponerlo en perspectiva: cuando saque la clave, servía para sacar certificados en el registro civil y se acababa el uso practico para mi.
En cosas realmente importantes, como mi correo personal, ahí si tengo claves de más de 12 caracteres y A2F (que para mi, es más importante que cualquier clave. Lastima que la clave unica no soporte eso).
 

miguelwill

Matrix Operator
Miembro del Equipo
MOD
parece que les pelaron hasta las vpn y keys para conectar con equipos en AWS
photo_2020-10-15_15-58-44.jpg



photo_2020-10-15_15-58-48.jpg
 
Última modificación:
guau al parecer tendremos para rato
no, pero al tener contraseñas simples y sin salt la wea hay diccionarios ya listos de esa contrasña poder de computo de un tetris noventero para dar con un resultado

ese es el tema, si no hay sal da lo mismo el algoritmo que usen, mal uso de encryptación


las 123456 van más allá de usuarios. Parece que no se podrá confiar en los certificados.
woaa, me imagino se podrá solicitar invalidar los certificados con los CA para que no los usen maliciosamente.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Cuando he usado funciones nativas de encriptado de password en php, un mismo password me queda con distintos hashes. Pq aquí no pasa lo mismo?
Bien hecho por ocupar las funciones que deberías ocupar!

Como dijo el Barlolo, esas se calculan con un salt, así que siempre generarán distintos resultados.

Si solamente ocuparon sha1 están hasta el copi pq hay millones y millones de claves previamente desencriptadas. Es cosa de bajar y comparar y listo! Tienes la clave de por lo menos la mitad de Chile.

Este es un cagazo de proporciones épicas: no sólo demuestra la mala infraestructura en general del sistema, tb expone muchas malas prácticas utilizadas por lo general por project managers para abaratar costos.

Espero que aprendan del cagazo y para la próxima separen el sistema de autentificación con el sistema de datos, como debería ser. Así por último se filtra una sola cosa pero no absolutamente toda tu vida.

Saludos.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
guau al parecer tendremos para rato


ese es el tema, si no hay sal da lo mismo el algoritmo que usen, mal uso de encryptación


woaa, me imagino se podrá solicitar invalidar los certificados con los CA para que no los usen maliciosamente.
Si y no. Podrán hacer eso pero no existe un sistema en tu browser para chequear esa info en real-time. Por algo lets encrypt apostó por certificados de corta duración: máximo 3 meses de forma que si alguien obtiene tus certificados sólo las podrán malusar por (worst case scenario) 3 meses.

Saludos.
 

Carlit0s

Miembro Regular
Nuevo
Lo más probable es que hayan robado una base de datos con los hash de cada password... eso no garantiza que las claves puedan ser decifradas pero si da pie para hacer un ataque de fuerza bruta, y es ahí donde las claves más simples pueden ser decifradas facilmente
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Herramienta útil: si ponen su contraseña acá y sale como "encontrada", entonces está indexada en un rainbow table por lo que SHA1 no les ofrecerá protección:


Saludos.
 
Si y no. Podrán hacer eso pero no existe un sistema en tu browser para chequear esa info en real-time. Por algo lets encrypt apostó por certificados de corta duración: máximo 3 meses de forma que si alguien obtiene tus certificados sólo las podrán malusar por (worst case scenario) 3 meses.

Saludos.
Me parece que es esa la razón por la que fueron creadas las lista de revocación.
Básicamente permiten revocar un certificado que aún no ha expirado.

https://en.wikipedia.org/wiki/Certificate_revocation_list

Los 3 meses de let's encrypt pueden ser en parte por eso, pero no estoy seguro que sea la única razón.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Me parece que es esa la razón por la que fueron creadas las lista de revocación.
Básicamente permiten revocar un certificado que aún no ha expirado.

https://en.wikipedia.org/wiki/Certificate_revocation_list

Los 3 meses de let's encrypt pueden ser en parte por eso, pero no estoy seguro que sea la única razón.
Si bien es cierto es posible, casi ningún browser realiza esa consulta debido a que es costoso (en cuanto a tiempo), muy propenso a fallas (de hecho, una llamada fallida por parte del browser se considera como "exitosa" y se asume que el certificado es válido) y además si estás en control de un DNS perfectamente puedes dar un resultado positivo.

Eso y que la gente automatice son las razones por la que los certificados de LE duran sólo 90 días:

Saludos.
 

miguelwill

Matrix Operator
Miembro del Equipo
MOD
Si bien es cierto es posible, casi ningún browser realiza esa consulta debido a que es costoso (en cuanto a tiempo), muy propenso a fallas (de hecho, una llamada fallida por parte del browser se considera como "exitosa" y se asume que el certificado es válido) y además si estás en control de un DNS perfectamente puedes dar un resultado positivo.

Eso y que la gente automatice son las razones por la que los certificados de LE duran sólo 90 días:

Saludos.
si, la lista de revocacion se revisa a lo sumo unas pocas veces al dia
lo que se toma mas en cuenta es la hora actual del equipo cliente vs la fecha/hora de caducidad del certificado directamente
esto mismo permite que un mismo sitio pueda tener mas de un certificado activo a la vez antes de que caduque y aunque lo agreguen a la lista de recovacion, puede pasar un par de dias antes de que este rechazado totalmente
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Yo trabajo en el gobierno y cada vez que ustedes actualizan este tema me da susto de que hayan vulnerado aúin más adentro o a más sistemas.

"Ahora se descubrió que los hackers llegaron a los correos en donde contaban las máquinas para el transantiago"
 

lukastgo

Capo
Qué hay de cierto que las bases biométricas (huellas), también se las pelaron?



(Pd:No hablo evento Sonda).

Enviado desde mi SM-G930F mediante Tapatalk
 

ayn

MOD
Miembro del Equipo
MOD
Herramienta útil: si ponen su contraseña acá y sale como "encontrada", entonces está indexada en un rainbow table por lo que SHA1 no les ofrecerá protección:


Saludos.
Esa es la pagina de los hackers para descubrir tus claves.

Pones tu clave ahi y cagaste Xd
 
Subir