Informe de seguridad 2019-03-20
Noticias

Informe de seguridad 2019-03-20

Buda.com
Buda.com

Estado:

Resuelto

Incidente:
El pasado martes 19 de marzo nos percatamos de algunas cuentas de usuarios que, pese a que pertenecían a usuarios que llevaban un tiempo sin hacer login en la plataforma, tenían API keys creadas recientemente.

Nuestros logs mostraban intentos de creación de API keys fallidos en varias cuentas. Muy pronto tuvimos certeza de que se trataba de un actor externo que había estado intentando acceder a cuentas de nuestros clientes.

Reacción:

Bloqueamos completamente el acceso a la plataforma por unos minutos y luego de una investigación en nuestros sistemas pudimos concluir que se trataba de un atacante que usó bases de datos de emails y contraseñas disponibles públicamente en internet para intentar encontrar cuentas en nuestro sitio que tuvieran las mismas contraseñas publicadas y crear así un API key utilizando el endpoint que tenemos disponible para este propósito.

Detuvimos el ataque y nos aseguramos de que no se repita

  • Forzamos el cambio de contraseña de las cuentas afectadas.
  • Agregamos una verificación de IP en el endpoint de creación de API keys, lo cual impide que el atacante tenga acceso a las cuentas aunque conozca la clave.

Durante su intento, el atacante alcanzó a obtener aproximadamente USD $1.500 y los usuarios afectados ya fueron contactados y sus fondos restaurados.

  1. La verificación de IP es una medida que aplicamos hace más de un año a todas las cuentas que no tienen clave dinámica, sin embargo, nos faltó activarla para el endpoint de creación de API keys. Por esta razón, asumimos la responsabilidad del caso y restauramos la totalidad de los fondos a los clientes afectados. El endpoint mencionado ahora sí tiene verificación por IP.
  2. Recordamos que la lucha contra los delincuentes informáticos es un trabajo constante y las personas que descubran vulnerabilidades en nuestro sitio pueden obtener una recompensa de hasta USD $3.000 en nuestro programa de recompensas: https://hackerone.com/buda
  3. Esperamos que este incidente sirva para que nuestros usuarios tomen conciencia sobre la importancia de no usar la misma contraseña que usan en otros sitios, activen la clave dinámica y comprendan también que a la hora de almacenar criptomonedas tienen alternativas como retirarlas a su propia billetera.

Equipo de seguridad de Buda.com