Adquirida por Ripple a principios de septiembre, la Confianza de la fortaleza reconoció un hackeo de 15 millones de dólares (72 millones de reales) la semana pasada. Al afirmar que sus sistemas están intactos, la empresa culpó a un proveedor externo.
Un proveedor así es Reestructurar. En una nota publicada el miércoles (13), la empresa también echó la culpa a un tercero: Google.
Si bien admite que un empleado cayó en una estafa de phishing a fines del mes pasado, también afirma que una nueva función de respaldo de Autenticador de Google contribuyó al hackeo millonario que tenía como objetivos a varias empresas del sector de las criptomonedas.
La criticada copia de seguridad de Google Authenticator
En abril de este año, Google anunció que Authenticator, su aplicación de autenticación de dos factores (2FA), iba a adquirir una nueva función. A través de él, los usuarios podrían guardar estos datos en la nube, simplemente iniciando sesión para acceder a ellos.
Varias personas trataron esta nueva característica como un importante agujero de seguridad. Binance, el corredor de criptomonedas más grande del mundo, fue uno de los primeros en pedir a sus usuarios que desactivaran esta opción, señalando que la conveniencia no justificaba el riesgo.
Después de todo, si su cuenta de Google fuera pirateada, los piratas informáticos tendrían acceso completo a todos los códigos 2FA que se encuentran en la aplicación.
Fortress Trust culpa a Retool
En nota Publicado el 7 de septiembre, Fortress Trust declaró que sus clientes se vieron afectados por un ataque dirigido a su proveedor de servicios.
«La semana pasada, 4 clientes de Fortress se vieron afectados por un proveedor externo cuyas herramientas en la nube se vieron comprometidas»escribió la compañía en Twitter. «Inmediatamente cancelamos la incorporación de proveedores y, como precaución, pausamos todas las cuentas para evaluar y garantizar la seguridad de todo el sistema».
Aunque el tuit también afirmaba que no había pérdida de fondos, la semana siguiente Scott Purcell, fundador de Fortress, dijo a Fortune que su empresa perdió entre 58 y 72 millones de reales (entre 12 y 15 millones de dólares) en el ataque.
Retool culpa a la nueva función de Google
El miércoles (13), Snir Kodesh, jefe de ingeniería de Retool, supuso que su empresa había sido víctima de un ataque de phishing a finales de agosto. El ataque afectó a 27 empresas clientes de Retool, incluida Fortress Trust.
Según el informe, varios empleados de Retool fueron objeto de ingeniería social. En los mensajes, los piratas informáticos se hacían pasar por clientes de la empresa y pedían a los empleados que accedieran a un enlace para resolver un problema en sus sistemas.
Aunque casi todos los empleados ignoraron los mensajes, uno de ellos terminó cayendo en la estafa. Después de iniciar sesión en el portal falso, el empleado recibió una llamada y proporcionó un código de autenticación de dos factores adicional al atacante.
«Esto les permitió tener una sesión activa de GSuite en ese dispositivo»comenta Kodesh. “Google lanzó recientemente la función de sincronización Google Authenticator que sincroniza códigos MFA (autenticación multifactor) con la nube. Esto es muy inseguro porque si su cuenta de Google está comprometida, ahora también lo estarán sus códigos MFA”.
«Desafortunadamente, Google emplea estándares oscuros para convencerlo de que sincronice sus códigos MFA con la nube, y nuestro empleado activó esta ‘función'».
Finalmente, el ejecutivo de Retool señala que los piratas informáticos obtuvieron acceso a la VPN interna de la empresa y a sus sistemas de administración, lo que les permitió tomar el control de varias cuentas de empresas clientes, todas en la industria de las criptomonedas.
La comunidad reacciona al hack y pide una mayor descentralización
A través de las redes sociales, Jameson Lopp, desarrollador de Bitcoin, recordado que Scott Purcell, fundador de Trust Fortress, también fundó Prime Trust, una empresa que se declaró en quiebra el mes pasado.
“Qué incendio de contenedor de basura ardiendo. No puedo creer que alguien confiara en ellos después de cómo rompieron el Prime Trust”.
Mike Belshe, director ejecutivo de BitGo, publicó un texto largo sobre la postura de Fortress, que intentó ocultar lo sucedido en un principio. Aunque su empresa también está centralizada, el ejecutivo señala que seguirá luchando para eliminar la participación humana, asegurando que el sistema financiero no dependa de la integridad de nadie.
“Esta es toda la situación y es exactamente por eso que necesitamos la descentralización”comentó Belshe, señalando que su empresa no tiene ninguna relación con lo sucedido. «No podemos seguir dependiendo de la honestidad de los depositantes, banqueros o «terceros de confianza» que actúan con integridad cuando suceden cosas malas».
«Sucederán cosas malas y la mayoría de los humanos no tienen el coraje suficiente para ser honestos al respecto».
Finalmente, si bien los usuarios pueden evitar los servicios de terceros manteniendo sus inversiones en sus propias billeteras, los agujeros de seguridad como la copia de seguridad en la nube de Google Authenticator requieren atención. Para concluir, Snir Kodesh, ejecutivo de Retool, mencionó una vez más los peligros de esta nueva característica.
«El hecho de que Google Authenticator se sincronice con la nube es un nuevo vector de ataque».
«Lo que implementamos originalmente fue la autenticación multifactor, pero a través de esta actualización de Google, lo que alguna vez fue autenticación multifactor se ha convertido silenciosamente en autenticación de un solo factor».concluyó Kodesh.