Un portal de ciberseguridad del FBI ha sido pirateado y la información de contacto de miles de sus miembros se filtró en un foro ilícito de ciberdelincuentes.
Se cree que más de 80,000 usuarios en el portal InfraGard ahora han filtrado su información de contacto, y los piratas informáticos envían mensajes a los miembros directamente bajo una cuenta que se hace pasar por un director ejecutivo de finanzas examinado por el FBI.
InfraGard trabaja con empresas para compartir información relacionada con ciberataques y otras amenazas.
director ejecutivo posando
Los nombres y la información de contacto de estos miembros se pusieron a la venta en Breached, un nuevo foro de ciberdelincuentes.
InfraGard examina a sus miembros, compuestos por personas clave en empresas de seguridad cibernética que están contratadas para manejar la seguridad de instituciones nacionales, como agua, servicios públicos, transporte, atención médica y energía nuclear. El objetivo es educar tanto al FBI como a las empresas sobre las amenazas a la ciberseguridad mediante el intercambio de información.
Al responder al asunto, el FBI declaró que «Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento».
KrebsOnSeguridad (se abre en una pestaña nueva) se puso en contacto con el vendedor en Breached, quien afirmó que solicitó una cuenta de InfraGard bajo la apariencia de un director ejecutivo real de una importante empresa de solvencia.
Usaron su nombre, número de seguro social, dirección de correo electrónico (que también afirmaron haber pirateado) y número de teléfono para completar la solicitud. El director ejecutivo real le dijo a KrebsOnSecurity que nunca recibieron contacto del FBI sobre la aplicación.
Aunque no esperaba ser aceptado, el hacker recibió un correo electrónico de InfraGard a principios de diciembre que decía que efectivamente habían sido aprobados.
InfraGard requiere autenticación de múltiples factores, pero los usuarios pueden optar por recibir un código único por correo electrónico en lugar de SMS. El hacker dijo que si se hubieran visto obligados a usar solo un teléfono, se habrían frustrado ya que usaron el número de teléfono real del CEO, al que no tenían acceso.
Para robar la base de datos, afirmaron que simplemente explotaron una API en el portal que ayuda a los miembros a conectarse entre sí. Usaron un script de Python para recuperar los datos, que contenían la información de cada usuario.
Aunque la información que obtuvieron es bastante básica y, en algunos casos, incompleta, el pirata informático afirmó que su verdadero motivo era seguir haciéndose pasar por un director ejecutivo y ponerse en contacto con otros miembros de InfraGard, quizás con la esperanza de extraer información más confidencial.
El administrador del foro Breached es Pompompurin, que tiene antecedentes con el FBI. El año pasado, explotaron una vulnerabilidad en otro portal de intercambio de información entre las fuerzas del orden locales de la agencia, obteniendo acceso para enviar grandes cantidades de correos electrónicos no deseados desde direcciones de correo electrónico e IP legítimas del FBI.