Brevenotas Vulnerabilidad en sistema claveunica permitió ingreso de desconocidos a la base de datos

En una noticia en desarrollo, información aportada por el medio "El mostrador" indica que nuestros datos fueron robados. En particular se trata de la base de datos de clave unica, esa que te permite desde sacar tu permiso para movilizarte en cuarentena hasta pedir tu certificado de deudas.

La recomendación como en caso de cualquier vulneración de claves, es proceder a cambiarla. Como siempre rásquense con sus propias uñas.

1602679985700.png

mail publicado por el mostrador donde se solicita a funcionarios cambiar su clave "en el marco del mes de ciberseguridad"


El escuadrón de Capa9 indica que hace un tiempo alguien en twitter había reportado una falla. Será la misma


Fuente: El mostrador
 

Archivo adjunto

  • 1602680110129.png
    1602680110129.png
    194,2 KB · Visitas: 268

maxtom

Pro
Se incorporó
5 Julio 2006
Mensajes
727
Esto es ahora último. Mi clave era "carito01" (la cambié obviamente ante todo esto).
Era una clave unica (no pun intended), utilizada solo en este sistema y la active hace como 4 años.
El problema de esto, es que esa clave ha aparecido en 1303 veces en hackeos anteriores. Es decir, cuando esten buscando clave, incluso por fuerza bruta, no es poner aaaaa, y luego aaaab, sino usan claves reales filtradas y ven que cae.

 

Pab1o

twitter.com/PabloEnLinea
Se incorporó
26 Septiembre 2006
Mensajes
844
- Mis claves son distintas para cada sitio, las centralizo en Google. ¿Que podría malir sal?.

- Pero señor, Google espía las conversaciones para vender su publicidad.

Enviado desde mi moto g(6) plus mediante Tapatalk
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
El problema de esto, es que esa clave ha aparecido en 1303 veces en hackeos anteriores. Es decir, cuando esten buscando clave, incluso por fuerza bruta, no es poner aaaaa, y luego aaaab, sino usan claves reales filtradas y ven que cae.

Eso lo se y como todo, hay que ponerlo en perspectiva: cuando saque la clave, servía para sacar certificados en el registro civil y se acababa el uso practico para mi.
En cosas realmente importantes, como mi correo personal, ahí si tengo claves de más de 12 caracteres y A2F (que para mi, es más importante que cualquier clave. Lastima que la clave unica no soporte eso).
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.589
todo deberia permitir el uso de yubikey, son tan buenas pero hay tan pocos servicios que las integren
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
parece que les pelaron hasta las vpn y keys para conectar con equipos en AWS
photo_2020-10-15_15-58-44.jpg



photo_2020-10-15_15-58-48.jpg
 
Última modificación:

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239

las 123456 van más allá de usuarios. Parece que no se podrá confiar en los certificados.
 

browsons

Capo
Se incorporó
29 Noviembre 2005
Mensajes
268
Me imagino la guadaña que corrió en el área encargada.
Todos echándole la culpa al informático de turno.
 

Kitsune

Fanático
Se incorporó
5 Mayo 2006
Mensajes
1.049
guau al parecer tendremos para rato
no, pero al tener contraseñas simples y sin salt la wea hay diccionarios ya listos de esa contrasña poder de computo de un tetris noventero para dar con un resultado

ese es el tema, si no hay sal da lo mismo el algoritmo que usen, mal uso de encryptación


las 123456 van más allá de usuarios. Parece que no se podrá confiar en los certificados.
woaa, me imagino se podrá solicitar invalidar los certificados con los CA para que no los usen maliciosamente.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
Cuando he usado funciones nativas de encriptado de password en php, un mismo password me queda con distintos hashes. Pq aquí no pasa lo mismo?
Bien hecho por ocupar las funciones que deberías ocupar!

Como dijo el Barlolo, esas se calculan con un salt, así que siempre generarán distintos resultados.

Si solamente ocuparon sha1 están hasta el copi pq hay millones y millones de claves previamente desencriptadas. Es cosa de bajar y comparar y listo! Tienes la clave de por lo menos la mitad de Chile.

Este es un cagazo de proporciones épicas: no sólo demuestra la mala infraestructura en general del sistema, tb expone muchas malas prácticas utilizadas por lo general por project managers para abaratar costos.

Espero que aprendan del cagazo y para la próxima separen el sistema de autentificación con el sistema de datos, como debería ser. Así por último se filtra una sola cosa pero no absolutamente toda tu vida.

Saludos.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
guau al parecer tendremos para rato


ese es el tema, si no hay sal da lo mismo el algoritmo que usen, mal uso de encryptación


woaa, me imagino se podrá solicitar invalidar los certificados con los CA para que no los usen maliciosamente.
Si y no. Podrán hacer eso pero no existe un sistema en tu browser para chequear esa info en real-time. Por algo lets encrypt apostó por certificados de corta duración: máximo 3 meses de forma que si alguien obtiene tus certificados sólo las podrán malusar por (worst case scenario) 3 meses.

Saludos.
 

Carlit0s

Miembro Regular
Se incorporó
19 Junio 2013
Mensajes
32
Lo más probable es que hayan robado una base de datos con los hash de cada password... eso no garantiza que las claves puedan ser decifradas pero si da pie para hacer un ataque de fuerza bruta, y es ahí donde las claves más simples pueden ser decifradas facilmente
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
Herramienta útil: si ponen su contraseña acá y sale como "encontrada", entonces está indexada en un rainbow table por lo que SHA1 no les ofrecerá protección:


Saludos.
 

luaraneda

Capo
Se incorporó
16 Abril 2006
Mensajes
296
Si y no. Podrán hacer eso pero no existe un sistema en tu browser para chequear esa info en real-time. Por algo lets encrypt apostó por certificados de corta duración: máximo 3 meses de forma que si alguien obtiene tus certificados sólo las podrán malusar por (worst case scenario) 3 meses.

Saludos.
Me parece que es esa la razón por la que fueron creadas las lista de revocación.
Básicamente permiten revocar un certificado que aún no ha expirado.

https://en.wikipedia.org/wiki/Certificate_revocation_list

Los 3 meses de let's encrypt pueden ser en parte por eso, pero no estoy seguro que sea la única razón.
 

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
Me parece que es esa la razón por la que fueron creadas las lista de revocación.
Básicamente permiten revocar un certificado que aún no ha expirado.

https://en.wikipedia.org/wiki/Certificate_revocation_list

Los 3 meses de let's encrypt pueden ser en parte por eso, pero no estoy seguro que sea la única razón.
Si bien es cierto es posible, casi ningún browser realiza esa consulta debido a que es costoso (en cuanto a tiempo), muy propenso a fallas (de hecho, una llamada fallida por parte del browser se considera como "exitosa" y se asume que el certificado es válido) y además si estás en control de un DNS perfectamente puedes dar un resultado positivo.

Eso y que la gente automatice son las razones por la que los certificados de LE duran sólo 90 días:

Saludos.
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.402
Si bien es cierto es posible, casi ningún browser realiza esa consulta debido a que es costoso (en cuanto a tiempo), muy propenso a fallas (de hecho, una llamada fallida por parte del browser se considera como "exitosa" y se asume que el certificado es válido) y además si estás en control de un DNS perfectamente puedes dar un resultado positivo.

Eso y que la gente automatice son las razones por la que los certificados de LE duran sólo 90 días:

Saludos.
si, la lista de revocacion se revisa a lo sumo unas pocas veces al dia
lo que se toma mas en cuenta es la hora actual del equipo cliente vs la fecha/hora de caducidad del certificado directamente
esto mismo permite que un mismo sitio pueda tener mas de un certificado activo a la vez antes de que caduque y aunque lo agreguen a la lista de recovacion, puede pasar un par de dias antes de que este rechazado totalmente
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Yo trabajo en el gobierno y cada vez que ustedes actualizan este tema me da susto de que hayan vulnerado aúin más adentro o a más sistemas.

"Ahora se descubrió que los hackers llegaron a los correos en donde contaban las máquinas para el transantiago"
 

lukastgo

Capo
Se incorporó
8 Mayo 2008
Mensajes
277
Qué hay de cierto que las bases biométricas (huellas), también se las pelaron?



(Pd:No hablo evento Sonda).

Enviado desde mi SM-G930F mediante Tapatalk
 

ayn

MOD
Miembro del Equipo
MOD
Se incorporó
2 Noviembre 2005
Mensajes
5.253
Herramienta útil: si ponen su contraseña acá y sale como "encontrada", entonces está indexada en un rainbow table por lo que SHA1 no les ofrecerá protección:


Saludos.
Esa es la pagina de los hackers para descubrir tus claves.

Pones tu clave ahi y cagaste Xd
 
Subir