Un ataque de phishing consigue las credenciales de más de 50,000 usuarios de Snapchat
:format(webp)/cdn.vox-cdn.com/uploads/chorus_image/image/58722595/snapchat-stock-0959.0.0.jpg)
A fines de julio, el director de ingeniería de Snapchat envió un correo electrónico al equipo de la compañía en respuesta a una amenaza de privacidad que se estaba desarrollando. Un funcionario de gobierno de Dorset en Reino Unido había proporcionado información a Snapchat sobre un ataque reciente a los usuarios de la compañía: una lista pública, incrustada en un sitio web phishing llamado klkviral.org, contenía 55,851 cuentas de Snapchat, junto con sus nombre de usuario y contraseñas.
El ataque parecía estar relacionado a un incidente previo que la compañía cree que ha sido coordinado desde la Republica Dominicana, de acuerdo a emails obtenidos por The Verge. No todas las credenciales de las cuentas fueron válidas y Snapchat restauró la mayoría de las cuentas después del ataque inicial. Pero durante un periodo de tiempo, cientos de credenciales de cuentas de Snapchat estuvieron públicamente disponibles en un sitio web.
De acuerdo con una persona familiarizada con el tema, el ataque se basaba en enviar un link a los usuarios a través de una cuenta comprometida, al hacer click al enlace, abría un sitio web diseñado para simular la pantalla de login de Snapchat. Numerosas compañias, incluida Facebook, escanean enlaces a medida que son enviados, en un esfuerzo para identificar páginas que imitan sus pantallas de inicio de sesión para bloquearlas.
/cdn.vox-cdn.com/uploads/chorus_asset/file/10242807/ImageJoiner_2018_02_16_at_1.28.51_PM.PNG)
“Lamentamos mucho cuando alguien es engañado por phishing”, dijo un portavoz de Snapchat a The Verge. “Si bien, no podemos evitar que las personas compartan sus credenciales de Snapchat con terceros, sí tenemos la defensa avanzada para detectar y prevenir actividad sospechosa. Fomentamos en los snapchatters el uso de contraseñas fuertes, habilitar la verificación de inicio de sesión y nunca usar aplicaciones o complementos de terceros”.
Snap dice que usa técnicas de aprendizaje de máquina para buscar links sospechosos que son enviados con la app, y bloquea proactivamente cientos de URL sospechosas por año. Los usuarios que fueron afectados por el ataque de Julio fueron notificados que sus contraseñas fueron restablecidas a través de un correo electrónico envidado por la compañía.
En el caso de Julio, la compañía notificó que un solo dispositivo habia iniciado sesión con un gran número de cuentas y lo marcó como sospechoso. Sin embargo, cientos de cuentas ya habian sido comprometidas.
Chad DePue, el director de ingeniería, también ordenó a un miembro del equipo legal de la compañía que solicitara al sistio web, GoDady, que lo retirara. (GoDaddy rechazó comentar sobre el ataque, diciento que violaría la privacidad del usuario).
No es claro cuánto duró el ataque, o cuándo comenzó el ataque de la Republica Dominicana. Pero la mañana del 24 de Julio, Google bloqueo klkviral.org de los resultados de búsqueda y lo marcó como un sitio malicioso a las personas que intentaban visitarlo. (Snapchat trabaja con Google y otras empresas de tecnología para mantener una lista de sitios maliciosos conocidos).
Las cuentas compromtidas en Julio representan una pequeña fracción de los 187 millones de usuarios activos de Snap. Pero el incidente ilustra como los sitios configurados para imitar el inicio de sesión pueden hacer una cantidad enorme de daño (y como las empresas deberían de confiar más en las técnicas de aprendizaje de maquina en tiempo real para detectarlas).