Buscar

2010/07/21

"No nos quedamos con datos de los usuarios"

Fuente: Publico.

The Pirate Bay (TPB), el principal portal de enlaces a descargas, fue hackeado el pasado 5 de julio. Un grupo argentino de especialistas en seguridad encabezado por un joven de 23 años llamado Ch. Russó entró en su base de datos, que incluye información sensible de los usuarios registrados en la web. Podrían haber hecho un auténtico estropicio y acabar con la reputación de TPB, algo con lo que suspira la industria de Hollywood. Sin embargo, fue un raro ejemplo de lo que se llama hacking ético. Se fueron sin romper un cristal ni llevarse un solo dato. Ahora TPB, tras arreglar el fallo, es más seguro que antes.
¿Cómo consiguieron acceso a TPB?
El sitio poseía varias irregularidades y vulnerabilidades de inyección MySQL [un software para bases de datos]. Se analizó el sitio y se fue haciendo un mapa interno para entender la estructura del sistema. No se puso en riesgo la información, la integridad ni la arquitectura del sistema.
Una vez dentro, ¿qué podrían haber hecho?
Un error de esta magnitud permite acceso total al sistema. Otra persona podría haber intentado apagar los sistemas, descargar la información o parte de ella para comercializarla, envenenar partes del sistema para infectar a millones de usuarios... TPB tiene más de cuatro millones de usuarios registrados pero muchos más sin registrar que también hubiesen quedado expuestos a un ataque.
¿Qué riesgo corrían los usuarios?
Podrían haberles colocado un paquete de explotación web que escanea su sistema, detecta errores y lanza ataques web conocidos como exploits para obtener acceso total a su equipo.
Lo que hicieron se conoce como hacking' ético. ¿Avisaron a los administradores?
Avisamos al personal de TPB acerca del error antes de comenzar, durante la exploración y después de finalizar el trabajo. Se podría considerar hacking ético, pero la gente ha terminado por asociar esa palabra con criminales.
¿Por qué lo hicieron?
Regularmente hacemos una exploración superficial de varios sitios mientras navegamos. Encontramos que algo no andaba bien en TPB.
Sus motivos siguen sin estar claros.
Proteger la información de estas personas de las manos equivocadas. Lo que hizo mi equipo fue evitar problemas mayores y lo hizo con total responsabilidad, frialdad y sin violar los derechos de ninguna persona. No hemos obtenido ningún beneficio, salvo la popularidad.
Pero, ¿consiguieron datos o sólo entraron y tomaron pruebas?
En ningún momento se tomaron, ni almacenaron, datos de los usuarios. Lo que hicimos fue un informe meticuloso del error para poder solucionar el problema.
¿Alguna empresa u organización relacionada con la industria de Hollywood os ha contactado interesada en esos datos?
No puedo responder esa pregunta. Pero le sugiero que se imagine.
¿Volverían a entrar en los servidores de TPB?
Sin duda. Mi equipo y yo sabemos bien lo que hemos hecho y también lo sabe The Pirate Bay, que puede ver los registros de nuestras acciones.

No hay comentarios: