Senha ridiculamente fácil faz operadora espanhola ficar sem serviço
Hacker diz ter encontrado login e senha por acaso em um vazamento público. Com acesso a sistemas, atacante "bagunçou" rotas de internet.
Hacker diz ter encontrado login e senha por acaso em um vazamento público. Com acesso a sistemas, atacante "bagunçou" rotas de internet.
A Orange Espanha, segunda maior operadora do país, ficou sem sinal na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. A ação só foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.
O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.
O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central. A título de curiosidade, quem faz isso aqui na América Latina e no Caribe é o LACNIC.
Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.
Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.
Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.
A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.
No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.
Snow ainda fez piada no X. Em um post, ela mencionou a conta da Orange Espanha e disse “Eu consertei a segurança da sua conta de administrador da RIPE. Mande uma mensagem para eu passar as novas credenciais”.
A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.
Com informações: Ars Technica, Bleeping Computer
Leia | 4 coisas sobre segurança do Wi-Fi que você precisa saber