El 1 de enero, un tecnólogo que se conoce con el apodo de regexer recibió un correo electrónico que decía que había restablecido con éxito su cuenta en el intercambio de criptomonedas Coinbase.
Desafortunadamente, y de manera preocupante, en realidad no había solicitado un restablecimiento de contraseña. Regexer, que pidió que se le mencionara por su apodo en línea por temor a ser atacado nuevamente por piratas informáticos, rápidamente se dio cuenta de que estaba siendo pirateado, y sus intentos de iniciar sesión en su Coinbase para recuperar el control no tuvieron éxito.
Poco después, se dio cuenta de que no tenía servicio de telefonía celular. Luego, su aplicación de dos factores, Authy, le notificó que se agregó un nuevo dispositivo a su cuenta. Después de que los piratas informáticos tomaron el control del servicio de telefonía celular de regexer, pudieron restablecer las contraseñas de sus cuentas e interceptar mensajes SMS de dos factores. Eso permitió a los piratas informáticos tomar el control de Authy, dándoles la posibilidad de usar los códigos 2FA creados por la aplicación, según regexer.
Esto les dio la oportunidad de acceder a más cuentas propiedad de regexer.
“Ahora no sé qué diablos está pasando. Soy totalmente propiedad ”, dijo regexer a TechCrunch, recordando el incidente.
Sin saber qué hacer, regexer comenzó a cambiar las contraseñas de sus otras cuentas importantes que aparentemente aún no habían sido comprometidas. Luego, por capricho, encendió y desactivó el modo avión en su iPhone. De alguna manera, después de eso, se restableció su servicio de telefonía celular.
Regexer no está seguro de si activar y desactivar el modo avión fue lo que detuvo el ataque, pero se alegra de que haya sucedido.
Durante semanas, regexer no tenía idea de cómo había sido pirateado. Luego, el lunes, recibió un correo electrónico de su proveedor de telefonía celular, Google Fi, informándoles a él y a todos los demás clientes que los piratas informáticos habían robado la información de algunos clientes, probablemente relacionado con la reciente brecha en T-Mobile.
A diferencia de otros clientes, el regexer de correo electrónico recibido contenía información más detallada sobre el ataque que sufrió semanas antes.
“Es posible que también se haya accedido a otros datos relacionados con su cuenta de Google Fi sin autorización, como un código postal y la dirección de servicio/emergencia asociada con su cuenta”, decía el correo electrónico, que regexer compartió con TechCrunch. “Además, el 1 de enero de 2023, durante aproximadamente 1 hora y 48 minutos, su servicio de telefonía móvil se transfirió de su tarjeta SIM a otra tarjeta SIM. Durante el tiempo de esta transferencia temporal, el acceso no autorizado podría haber implicado el uso de su número de teléfono para enviar y recibir llamadas telefónicas y mensajes de texto. A pesar de la transferencia de SIM, no se pudo haber accedido a su correo de voz. Hemos restaurado el servicio de Google Fi en su tarjeta SIM”.
Regexer dijo que habló con dos representantes de clientes de Google Fi tratando de averiguar más detalles sobre lo que sucedió, pero ninguno de ellos le dijo nada. Y, curiosamente, regexer no vio ninguna evidencia de que su cuenta de Google, que está vinculada a la cuenta de Google Fi, estuviera comprometida. No está claro cómo los piratas informáticos pudieron realizar el intercambio de SIM.
Google no ha respondido a una solicitud de comentarios. Y aún no se sabe si hubo otras personas, o cuántas, específicamente atacadas por piratas informáticos como lo fue regexer.
Mientras el ataque estaba en curso, regexer descubrió que los piratas informáticos también se habían apoderado de su cuenta de correo electrónico de Outlook y, de manera inteligente, en un esfuerzo por ocultar sus acciones, eliminaron los correos electrónicos que informaban sobre el restablecimiento de la contraseña.
Aunque no pasó nada más desde el 1 de enero, regexer todavía está preocupado y está pidiendo a Google que revele más información.
“Lo principal que me gustaría saber es si otros y yo seguimos siendo vulnerables, y si hay algo que podamos hacer para protegernos. Me encantaría conocer más detalles sobre los mecanismos que se usaron para la toma de control del número de teléfono porque arrojará luz sobre el nivel de vulnerabilidad actual y los métodos de defensa, así como si el SMS de dos factores sigue siendo mejor que ningún factor de dos. en absoluto. (Puedo reemplazar los SMS para algunas cuentas en línea, pero no para todas. Muchos bancos y otros solo permiten dos factores a través de SMS). También me encantaría saber a cuántas personas les robaron sus números de teléfono en relación con la violación y si se trataba de un subconjunto pequeño, ¿había alguna razón por la que nosotros en particular fuéramos atacados”, dijo regexer.
“Entonces, a menos que Google arroje más luz sobre el ataque, hay una gran pregunta abierta sobre qué tan vulnerables son ahora los números de teléfono de las personas”.
¿Eres suscriptor de Google Fi que también fue víctima de un ataque similar? ¿También recibiste una notificación personalizada de la empresa sobre el hackeo en tu contra? Nos encantaría saber de usted. Puede ponerse en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.