aurich lawson
El asediado sitio de redes sociales Gab fue violado el lunes, lo que marca la segunda vez en tantas semanas que los piratas informáticos obtienen acceso no autorizado a una plataforma que atiende a los usuarios que promueven discursos de odio y teorías de conspiración pro-Trump.
El compromiso salió a la luz después de que alguien secuestró la cuenta del fundador y CEO de Gab, Andrew Torba, y dejó una publicación criticándolo por no pagar un rescate de 8 bitcoins por la devolución segura de los documentos utilizados para verificar la identidad de algunos usuarios. El hacker desconocido también acusó a Torba de no revelar el alcance total de la violación anterior.
https://archive.md/mSYxk
Gab rápidamente desconectó el sitio y eliminó la publicación, pero no antes de que se archivara aquí. Cuando se restauró el servicio unas horas más tarde, Torba publicó un comunicado en el que decía que la infracción del lunes se debió a que los administradores del sitio no revocaron los tokens de portador OAuth2, que los navegadores y las aplicaciones móviles almacenan después de que un usuario haya iniciado sesión con éxito en un sitio.
Cosecha de tokens
“El atacante que robó datos de Gab recolectó tokens portadores de OAuth2 durante su ataque inicial”, escribió Torba. “Aunque se parcheó su capacidad para recolectar nuevos tokens, no eliminamos todos los tokens relacionados con el ataque original. Al reutilizar estos tokens antiguos, el atacante pudo publicar 177 estados en un período de 8 minutos hoy”.
El hecho de que Gab no eliminó los tokens de portador puede deberse a la falta de familiaridad con el código Mastodon de código abierto que ejecuta el sitio o a la falta de voluntad para exigir a los usuarios que pasen por la molestia de restablecer los tokens de portador OAuth2. El robo de los tokens fue una sorpresa para muchos porque no estaban incluidos en un tesoro de datos Gab pirateados publicados por el sitio al estilo de Wikileaks Distributed Denial of Secrets después de la violación.
«Creo que lo que es digno de mención aquí es que nunca supieron que se obtuvieron estos datos, al menos no en base a sus informes», dijo Troy Hunt, propietario del servicio de notificación de infracciones ¿Ha sido Pwned?, refiriéndose a esta notificación que Gab publicó en Sábado. Hunt dijo que también estaba sorprendido de que Gab aún no haya aplicado un restablecimiento de contraseña obligatorio para todos los usuarios. Dichos restablecimientos son una práctica estándar después de que los sitios experimentan infracciones que comprometen los datos del usuario.
La primera brecha salió a la luz el lunes pasado, cuando DDoSecrets dijo que obtuvo 70 GB de contraseñas, publicaciones privadas y más de Gab y las puso a disposición de investigadores y periodistas seleccionados. Los datos, dijo la cofundadora de DDoSecrets, Emma Best, fueron proporcionados por un pirata informático no identificado que violó Gab al explotar una vulnerabilidad de inyección de SQL en el código del sitio web de Gab.
Tratando de mantenerse a flote
Poco después de que se descubriera la primera brecha, alguien en Gab reparó una vulnerabilidad crítica de inyección de SQL que fue introducida en el código del sitio web por el CTO del sitio, Fosco Marotto. Marotto se negó a decir si esa vulnerabilidad fue la que los piratas informáticos explotaron para apoderarse del sitio, pero la introducción del error a principios de este año y su eliminación tan pronto después del compromiso del sitio avivaron las especulaciones de que de hecho fue el que se usó en el ataque.
Marotto no respondió de inmediato a un correo electrónico en busca de comentarios para esta publicación.
Gab ha estado luchando por mantenerse a flote durante más de dos años mientras continúa brindando un refugio para el discurso de odio y las teorías de conspiración. En 2023, Google eliminó la aplicación Gab de Play Store por violaciones de los términos del servicio. Un año después, el servidor web GoDaddy canceló el servicio a Gab después de que uno de sus usuarios acudiera al sitio para criticar a la Sociedad Hebrea de Ayuda al Inmigrante poco antes de matar a 11 personas en una sinagoga de Pittsburgh.
La revelación de que el hack anterior expuso tokens portadores de OAuth 2 deja abierta la posibilidad de que los responsables hayan obtenido otros tipos de datos confidenciales de los usuarios. Y si ese es el caso, es posible que los problemas de seguridad de Gab aún no hayan terminado.
Publicación actualizada para eliminar el penúltimo párrafo, que contenía información incorrecta sobre la relación de Gab con Amazon.
