Resulta que la violación de seguridad de Buffer se debió a una violación de seguridad en MongoHQ [1], que Buffer usa para administrar su base de datos. [2]
1. Los atacantes comprometieron MongoHQ.
2. Obtenga acceso a la información de la base de datos de Buffer
3. Robó los tokens de acceso de Facebook / Twitter de los usuarios del búfer.
4. Publique mensajes de spam utilizando tokens robados.
A partir de hoy, hemos aprendido información nueva e importante sobre cómo los piratas informáticos pudieron acceder a la base de datos de Buffer y robar los tokens API para Twitter y Facebook que se utilizaron para publicar spam en nombre de nuestros usuarios.
La puerta trasera que se creó a través de uno de nuestros socios, MongoHQ, que administra nuestra base de datos. MongoHQ, que ha sido increíblemente responsable y receptivo con respecto a esto, también acaba de publicar una actualización sobre la violación de seguridad en su blog.
En resumen, la contraseña de MongoHQ de uno de los empleados de MongoHQ fue robada. De esa forma, los piratas informáticos iniciaron sesión en el panel principal de administración de MongoHQ y pudieron usar la función de “suplantación” para ver toda la información de la base de datos de Buffer. A través de eso, escribieron un script para robar nuestros tokens de acceso social y publicar mensajes de spam en nombre de nuestros usuarios.
- Cómo cambiar una contraseña de Windows usando CMD
- Cómo comenzar a aprender piratería ética y convertirse en un experto en seguridad
- Cómo eliminar completamente el virus $ recycle.bin y el volumen de información del sistema de mi PC
- ¿Qué tan fácil o difícil es para los estudiantes indios conseguir un trabajo después de hacer una maestría en seguridad cibernética en una universidad de los Estados Unidos?
- ¿Puede nombrar un banco en los EE. UU. Que mantenga la información de sus clientes razonablemente segura? (según una declaración de auditoría)
Además, los atacantes parecen haber tenido acceso a parte de la cuenta Github de Buffer [3], mediante la cual obtuvieron la clave y el secreto de la aplicación de Twitter de Buffer.
Hemos aprendido que, además de extraer tokens de acceso a través de nuestro proveedor de bases de datos MongoHQ, los piratas informáticos también pudieron obtener acceso no autorizado a nuestra cuenta Buffer GitHub. Descubrimos esto al ver el Historial de seguridad de uno de los miembros de nuestro equipo cuya cuenta se utilizó para acceder al código. Los registros mostraban inicios de sesión y sesiones actuales, que revocamos de inmediato. Con acceso al código, extrajeron nuestra clave y secreto del consumidor para publicar spam en Twitter.
Este ataque podría haberse evitado si los tokens de acceso de los usuarios hubieran sido encriptados, lo que ahora son. Buffer también ha revocado todas sus claves y secretos de aplicación comprometidos.
- Desde entonces hemos invalidado todos los tokens de acceso de Twitter. Hemos agregado encriptación para todos los tokens de acceso de Twitter.
- Para las llamadas a la API de Facebook, ahora estamos usando un parámetro de seguridad adicional para hacer que todos los tokens sean más seguros.
[1] Infracción de seguridad de MongoHQ | MongoDB alojado
[2] Se ha resuelto la infracción de seguridad del búfer: esto es lo que necesita saber
[3] Sin embargo, no está claro cómo los atacantes lograron esta parte del ataque.
