A finales de marzo, la aplicación de chat de video Houseparty, propiedad de Epic Games, respondió a informes no confirmados de que las cuentas de los usuarios habían sido pirateadas, ofreciendo una recompensa de $ 1 millón a cualquiera que pudiera probar que los rumores eran parte de una campaña coordinada para difamar a la compañía .
El desarrollador dijo en ese momento que no tenía evidencia de ningún vínculo entre Houseparty y alegó compromisos de cuentas en otros servicios como Spotify, Netflix y PayPal. E insistió en que las cuentas de Houseparty estaban seguras.
Si bien algunas publicaciones de Twitter que apuntan a Houseparty parecen ser dudosas, la evidencia de cualquier campaña de desprestigio aún no ha aparecido, y parece que no se ha otorgado la recompensa de $ 1 millón. El Registro le pidió dos veces a Houseparty que confirme esto. Aunque recibimos una declaración, no se proporcionó respuesta a esa pregunta en particular.
Tampoco se pagó ninguna recompensa por errores al investigador de seguridad Zach Edwards después de descubrir que la infraestructura de dominio de Houseparty había sido secuestrada y abusada por distribuir contenido malicioso.
El 31 de marzo, Edwards, cofundador del negocio de análisis web Victory Medium, criticó al creador de la aplicación de video chat a través de Twitter por la falta de encabezados de la Política de seguridad de contenido en una página de restablecimiento de contraseña. Sospechaba que podría haber más problemas de seguridad y una semana después envió un informe de error al programa de respuesta de seguridad HackerOne de Epic Games que detallaba más de una docena de subdominios de thehousepartyapp.com que servían archivos PDF maliciosos.
Ellos se veían así:
http://nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com/lib8/schafzucht.pdf?web=nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com
En una serie de mensajes de correo electrónico de Twitter con The Register, Edwards explicó que el grupo de hackers criminales detrás de los archivos maliciosos parece haber estado operando durante casi dos décadas. Dijo que secuestran subdominios y redirigen a los usuarios a sitios web que prometen transmisión gratuita de videos, libros electrónicos y descargas.
“Secuestran subdominios con ‘poisonPDF’ que están llenos de contenido rico en SEO y otras vulnerabilidades, y empujan a los usuarios a redireccionamientos maliciosos y sitios web fraudulentos”, dijo. “El dominio de autenticación de Houseparty fue afectado por el grupo”.
Edwards, quien se refiere al grupo de piratas informáticos como la “Tripulación Pickaflick.com”, basado en un dominio que el grupo parece haber utilizado para estafas de tarjetas de crédito anteriores, planea publicar más detalles sobre la operación el miércoles a través de Medium.
Dijo que presentó sus hallazgos al programa de respuesta de seguridad HackerOne de Epic Games basado en el premio de verificación de frotis de $ 1 millón de Houseparty sin esperar que realmente le paguen. Más bien, dijo, espera lograr que la compañía se relacione con la comunidad de seguridad para ayudar a otras organizaciones afectadas por este grupo.
“Creo que los hechos son claros de que una red organizada de piratas informáticos y fraudes con tarjetas de crédito utilizó los subdominios de Epic Games para lanzar ataques contra los usuarios”, afirma en su publicación. “Y este grupo continúa organizando estos ataques a través de Internet, y lo ha hecho durante años”.
Edwards ha identificado 8.440 archivos PDF saboteados asociados con el grupo de malware en varios otros sitios web.
La publicación de Edwards incluye mensajes de correo electrónico supuestamente del equipo de seguridad de Epic Games en respuesta a su informe de error. Los correos electrónicos niegan que haya habido un compromiso específico de los sistemas de la compañía por parte de una parte maliciosa.
“Confirmamos que ese no es el caso y que los subdominios en cuestión apuntaban a registros DNS abandonados, que a su vez fueron heredados automáticamente por un tercero que alojaba libros electrónicos”, dice el mensaje.
No hubo compromiso porque la puerta, por así decirlo, quedó abierta por antiguos registros de dominio que nadie se había molestado en eliminar, registros que apuntaban a una dirección IP que ya no controlaba Houseparty.
Como explica el correo electrónico de Epic Games, “un tercero heredó la dirección IP que anteriormente poseía Houseparty, el registro DNS asociado con esa IP nunca se eliminó, por lo que ese subdominio aún se dirige a la IP en cuestión”.
The Register entiende que Houseparty ve el problema como un problema de configuración incorrecta del sitio web y ha tomado medidas para arreglar su infraestructura de dominio.
Cuando se le pidió que comentara sobre los reclamos de Edwards, un portavoz de Houseparty dijo: “El mundo confía en Houseparty para conectarlos cuando más lo necesitan y no los defraudaremos. Recibimos la correspondencia del individuo intentando reclamar la recompensa y la revisamos a fondo para confirmar que no fue fundada. El individuo no ha proporcionado una prueba de concepto para su error teórico, que es requerido por todos los programas de recompensas de errores. La aplicación Houseparty es segura para usar en cualquier dispositivo móvil y está protegida por un cifrado confiable de la industria, por lo que su los datos y su experiencia están protegidos”. ®
Fuente: (https://www.theregister.co.uk/)
