Radiografía Del Hackeo a Liverpool _ Última Palabra 2

16
Radiografía del hackeo a Liverpool Por Última Palabra - ene 10, 2015 Recientemente, la cadena de tiendas Liverpool anunció mediante un comunicado que había sido víctima de una intrusión y un intento de extorsión que buscaba “dañar su reputación”. El comunicado detallaba muy poca información, limitándose a decir que “los criminales lograron una intrusión en correos de nuestro personal y también obtuvieron datos de algunos clientes”. Hasta donde se sabe, Liverpool tuvo que hacer pública esa intrusión a petición de la Bolsa Mexicana de Valores (BMV), y lo hizo en la tarde del 24 de Diciembre de 2014 con la esperanza, quizá, de que no se hiciera mucho escándalo. La empresa declaró que:

description

Liverpool es una basura de empresa, lo mismo matan a sus propios empleados que dejan hoyos como este, exponiendo la seguridad de datos de miles de clientes, que por cierto, ya están por todos lados, Liverpool apesta

Transcript of Radiografía Del Hackeo a Liverpool _ Última Palabra 2

  • Radiografa del hackeo a LiverpoolPor ltima Palabra - ene 10, 2015

    Recientemente, la cadena de tiendas Liverpool anunci mediante un comunicado que haba sido vctima de una intrusin y unintento de extorsin que buscaba daar su reputacin. El comunicado detallaba muy poca informacin, limitndose a decirque los criminales lograron una intrusin en correos de nuestro personal y tambin obtuvieron datos de algunos clientes.

    Hasta donde se sabe, Liverpool tuvo que hacer pblica esa intrusin a peticin de la Bolsa Mexicana de Valores (BMV), y lohizo en la tarde del 24 de Diciembre de 2014 con la esperanza, quiz, de que no se hiciera mucho escndalo.

    La empresa declar que:

  • Medios como CNNExpansin, Proceso, Forbes y FayerWayer retomaron la informacin y la compartieron con sus lectores, sinembargo, no qued claro cul fue el alcance real del supuesto ataque ciberntico.

    Das ms tarde, aparecieron en Facebook varias FanPages a nombre de un grupodenominado sickillers donde se publicaron pruebas del hackeo, y se sugera que irandesvelando ms informacin. Las pginas de Facebook fueron dadas de baja casiinmediatamente, pues se estaban publicando datos personales de los directivos de Liverpooly documentos internos de la empresa. Hasta el momento de esta publicacin dos de esaspginas seguan activas en facebook.

    El 27 de Diciembre, el grupo Sickillers lanz un blog (sickillersmx.wordpress.com) dondecomenz a publicar ms datos del supuesto hackeo. La ltima publicacin sucedi el 4 de enero y el sitio fue suspendido el 5de enero. Durante 10 das la informacin robada por sickillers estuvo disponible pblicamente, y por lo que ah se encontrabano pareca que el ataque fuera de bajo riesgo como lo haba calificado la empresa. La duda sobre el verdadero alcance delataque segua siendo un misterio, pues el grupo sickillers no determin si contaba con ms datos y de qu forma los harapblicos.

    Por ello, realizamos un anlisis de los documentos filtrados para tratar de determinar la verdadera magnitud del ataque aLiverpool. Aun cuando el blog del grupo sickillers ha sido suspendido porWordPress, la mayora de las imgenes de losdocumentos expuestos siguen siendo accesibles pues fueron alojadas en servicios externos. Los servicios utilizados por sickillerspara difundir sus filtraciones fueron img.ur, prntscr.com, Gmail, MEGA, Stickynotes, WeTransfer y Github.

    La radiografa del ataque revel que la informacin comprometida es la siguiente:

    ESTIMAMOS QUE EL RIESGO DERIVADO DE DICHA INTRUSIN ES BAJO; NO OBSTANTE, SE ESTN TOMANDO MEDIDAS ADICIONALES PARA REFORZARLA PROTECCIN DE LA INFORMACIN DE NUESTROS CLIENTES Y FORTALECER NUESTROS SISTEMAS, PRCTICAS Y PROCEDIMIENTOS.

  • Expedientes judiciales de Liverpool. Con detalles de procesos judiciales que involucran a Liverpool y a otrasempresas.Manuales corporativos de uso interno. Documentos donde se muestran las reglas para el uso del logotipo de laempresa, tipografas oficiales, materiales institucionales, diseo de tarjetas de monedero electrnico, cdigos cromticosy dems elementos de la imagen institucional de Liverpool.Documentos oficiales del SAT (SHCP). Filtraciones que muestran RFCs tanto de Liverpool como de particulares,estados del cumplimiento de obligaciones fiscales, nombre y datos del representante legal de Liverpool, e informacinsobre las declaraciones fiscales de la empresa.Documentos oficiales de BBVA Bancomer. Algunas filtraciones sobre operaciones de crditos hipotecarios y avalos anombre de particulares que, de acuerdo con sickillers, seran documentos relacionados con el ingeniero encargado de laseguridad de los sistemas informticos de Liverpool.Diagramas tcnicos. Informacin detallada de la arquitectura de los sistemas informticos de Liverpool y su redinterna, con informacin de sus sites de Santa F (Ciudad de Mxico), Quertaro y Monterrey; incluyendo pasarelas depago con empresas como American Express, PROSA y PagaTodo; red de Computadoras Personales y red de puntosde venta (PoS); Servidores de seguridad, servidores de sistemas SAP, as como detalles de su Mainframe encargado delos sistemas de crdito, vales, mesas de regalos, auditorias, etc. Se incluyen tambin la capacidad tcnica de esosequipos y documentos que detallan los gastos de mantenimiento de HW y SW.Sistemas Operativos. Detalles de los sistemas operativos que utiliza Liverpool y Fabricas de Francia en sus equiposde cmputo, que incluyen NetWare, de Novell; iOS, de Apple; Windows, de Microsoft; z/OS, OS4690 y AIX, de IBMy NonStopOS, de HP.

  • Proyectos Internos. Documentacin sobre propuestas para proyectos internos, como el Proyecto Liverpool-Googleo el Proyecto Vialux, el cual tendra como objetivo la instalacin de antenas de telefona mvil para mejorar lacobertura al interior de sus tiendas. Dichos documentos contienen organigramas, presupuestos, componentes, etc.

    Planos arquitectnicos. Esquemticos del edificio sede del corporativo de Liverpool en Santa F, as como de sus sitesde Quertaro y Monterrey.

  • Arquitectura del sistema para puntos de venta mvil. Detalles de su sistema de puntos de venta (PoS) y suscomponentes de Hardware y Software.

  • Aplicaciones mviles. Sickillers public enlaces para descargar los instalables de las aplicaciones de LiverpoolNespresso.ipa y Liverpool.ipa.

    Manual de conexin a la VPN y aplicativo de Liverpool para Punto de Venta en dispositivos mviles. En l sedetallan los pasos para ingresar mediante dispositivos mviles al sistema de Liverpool (Nesperesso), usando un token deRSA SecurID (como el que usamos para acceder a sistemas de banca en lnea) y la aplicacin Junos Plus, de JuniperNetworks, encargada de establecer las conexiones cifradas a la VPN de Liverpool.Videos. Videos de lo que parece ser un procedimiento de capacitacin sobre cmo conectarse a la red interna deLiverpool, subidos a Vimeo.

  • Documentos personales. Que incluyen Credenciales del IFE, hipotecas, contratos de compra-venta, pasaportes, informacin de tarjetas de crdito, domicilios, vehculos, fotografas personales, actas de nacimiento, estados de cuenta,y recibos telefnicos de directivos de la empresa.

  • Auditoras. Reportes de la Gerencia de Infraestructura y Seguridad donde se da cuenta de vulnerabilidadesencontradas tras una auditoria de seguridad realizada a las pginas del dominioliverpool.com.mx y sus subdominios.Tambin se filtraron documentos sobre los resultados de un Informe de revisin de Hardware.

    Aplicativos y sistemas internos. Detalles del Software que utilizan los equipos de cmputo de Liverpool, como el ZENWorks, de Novell; el SAP para Recursos Humanos; Controler CC/DD/EE para reportes de desempeo deservidores; Verastream Host Integrator para correr aplicaciones en diferentes dispositivos; PowerBroker para manjarprivilegios y controlar aplicaciones en escritorios y servidores virtuales y fsicos; Luminet, en todos los puntos de ventapara evitar fraudes e infracciones de sus empleados, entre otros.

  • Inters de compra de terrenos de la UAM Cuajimalpa. Se filtr un oficio con fecha del 9 de Mayo de 2014, donde laUAM Cuajimalpa responde a una solicitud de Liverpool, ya que ste ltimo externaba su especial inters por adquirir elterreno conocido como el encinal, propiedad de la UAM Cuajimalpa. Antes de tener su sede actual, que iniciactividades escolares a mediados de 2014, la UAM Cuajimalpa cont con tres sedes alternas. La nueva sede de la UAMCuajimalpa cuenta con un edificio, la Torre3, y est pendiente la construccin de las Torres 1 y 2 en los terrenos de esaUnidad. En el oficio filtrado por sickillers, la Universidad responde que no se tiene planeado, hasta hoy, vender fraccinalguna de la propiedad el encinal, sin embargo deja abierta la invitacin para que Liverpool enve su oferta de comprapara poder hacer el anlisis de la misma y someterla a consideracin.

  • Datos sobre fraudes. Otra filtracin que llama la atencin, aunque no contiene informacin abundante, es larelacionada a pesquisas de fraudes con tarjetas de crdito ligadas a Liverpool. Por lo que se observa, se trata de unanlisis forense que Liverpool gener tras recibir una alerta del banco HSBC en Enero de 2014. En los resultados delanlisis se observa que los daos por fraudes ascienden a 6.3 millones de pesos y que el alcance sera de 3,332tarjetahabientes afectados. Adems, se alerta de que podra haber alrededor 317,000 tarjetas comprometidas.

  • Tarjetas de crdito. Registros de lo que parecen ser compras realizadas con tarjetas de crditoVISA, con detalles delos conceptos de pago, las terminales utilizadas, montos, fechas y ciudades donde se realizaron las supuestastransacciones. De igual forma, el 29 de Diciembre de 2014 sickillers hizo pblicos en su blog datos de trestarjetahabientes entre los que se incluan nmeros de tarjeta de crdito, cdigos de seguridad CVV, fechas de expiracinde las tarjetas, domicilios, nombres completos, fechas de nacimiento y correo electrnico de los titulares. Las tres tarjetasde crdito filtradas tambin son VISA. No est claro si esos registros corresponden a tarjetahabientes de Liverpool o aempleados, tampoco si el grupo sickillers tiene en su poder ms datos de tarjetas de crdito.

  • Organigramas. Fotografas, nombres y puestos de personal directivo, gerencial y administrativo de Liverpool.

    Directorio general. Se filtr un documento de Excel con un listado que incluye nombre completo, puesto, extensintelefnica y ubicacin del personal directivo y gerencial de Liverpool y Fbricas de Francia, as como personal a su cargo.De igual forma, se hizo pblico un documento CSV con lo que se presume sera el directorio completo de empleados deLiverpool, que incluye nombre completo, correo electrnico y si tienen o no activada la opcin de factor de dobleautenticacin en su cuenta de correo. Sobre sta ltima filtracin, confirmamos que Liverpool tiene un convenio conGoogle para sus servicios de correo electrnico interno, por lo que todos los empleados de Liverpool que cuentan con uncorreo en el dominio @liverpool.com.mx utilizan un servicio muy parecido a Gmail. El archivo filtrado al parecer fue

  • descargado utilizando las herramientas que el mismo servicio de correo proporciona, y fue generado el 11 de Diciembrede 2014; cuenta con 16,201 registros. ste documento contina en lnea en una pgina del servicio Github, pero porrazones de privacidad no enlazaremos a l.

  • Con los documentos revelados hasta la fecha, resulta difcil creer que el riesgo de la intrusin sea bajo como argumentaLiverpool, pero tampoco se puede dar por hecho que estamos ante un ataque complejo. Una de las hiptesis que emergen esque se trata de un robo interno de informacin, alguna persona que obtuvo acceso al correo electrnico de uno o variosdirectivos o jefes de sistemas de Liverpool y que descarg toda la informacin de esos correos. Por otro lado, algunas capturasde pantalla que fueron filtradas sugieren que el atacante habra sido un trabajador o ex trabajador de la empresa.

    Ahora bien, la divulgacin de los detalles de la arquitectura de los sistemas estratgicos de Liverpool s constituye un riesgograve para la empresa, pues abre la ventana para que otros atacantes estudien con detenimiento las formas de vulnerar lossistemas y puntos de venta de Liverpool.

    La filtracin de los organigramas de la empresa, as como de los datos personales de sus empleados, que van desde directivoshasta personal en tiendas, es en extremo, delicada. Todos los directivos, gerentes, coordinadores, jefes de departamento, etc.corren un riesgo inminente al ver sus datos personales en poder del grupo sickillers.

    Entrando en el terreno de la especulacin, lo verdaderamente alarmante sera confirmar que el grupo sickillers cuenta con lainformacin de las tarjetas de crdito de los clientes de Liverpool, sus datos personales, referencias, telfonos, domicilios,historial crediticio, etc. Eso s podra desatar el caos total para la cadena de tiendas presidida por Max Michel Suberville,empresario que se encuentra en el lugar 18 de la Lista Forbes Mxico de los 37 mexicanos ms ricos con una fortuna calculadade 1,400 millones de dlares. Recordemos que Liverpool es la mayor cadena de tiendas departamentales del Mxico, cuentacon 99 sucursales, de las cuales 74 llevan el nombre de Liverpool y 25 el de Fbricas de Francia. Adems, la compaa cuentacon cinco Duty Free y 48 boutiques especializadas. La empresa tambin es el tercer emisor ms grande de tarjetas de crditoen Mxico, con ms de 3.6 millones de plsticos. Tomando esto en cuenta, y considerando que Liverpool report que se tratabade una extorsin, podemos prever que en el hipottico escenario de que sickillers contara con los registros de los clientes deLiverpool, la compaa se vera orillada a pagar el rescate de su informacin.

    Por el momento la pelota est del lado de sickillers, veremos que movimientos realiza y si Liverpool gana batalla. Hasta ahora,lo nico seguro es que, para Liverpool, la seguridad ya es parte de su vida.

  • GeekArmy

    Comentarios

    0 Comentarios

    ltima Palabrahttp://ultimapalabra.mx

    Relacionado

    Sper 'hackeo' a JPMorgan Chase Crimen se moderniza; detectanextorsin ciberntica

    Estados Unidos dejar de controlarinternet en 2015oct 3, 2014

    En "Sin categora" feb 6, 2014En "Tecnologa"

    mar 18, 2014En "Finanzas"


NX RADIOGRAFÍA DIGITAL NX para radiografía digital

NX RADIOGRAFÍA DIGITAL NX para radiografía digital

MAD Hackeo: reprogramación y creación artística en la ...

MAD Hackeo: reprogramación y creación artística en la ...

Revista Liverpool

Revista Liverpool

Liverpool by Luis, Fran & Pepe

Liverpool by Luis, Fran & Pepe

Radiografía periapical

Radiografía periapical

9_00 Liverpool 2009 1.02

9_00 Liverpool 2009 1.02

El Puerto de Liverpool, S

El Puerto de Liverpool, S

El hackeo de los sentidos en realidad virtual

El hackeo de los sentidos en realidad virtual

24- Radiografía

24- Radiografía

idad - El Puerto de Liverpool

idad - El Puerto de Liverpool

radiografía panorámica

radiografía panorámica

Radiografía Industrial.pdf

Radiografía Industrial.pdf

pregrado.udg.mxpregrado.udg.mx/sites/default/files/... · Módulo l. Generalidades de Hackeo ético y pruebas de penetración 1.1 Introducción al Hackeo ético, terminología y conceptos

pregrado.udg.mxpregrado.udg.mx/sites/default/files/... · Módulo l. Generalidades de Hackeo ético y pruebas de penetración 1.1 Introducción al Hackeo ético, terminología y conceptos

Material conferencia ITSJR: Hackeo etico

Material conferencia ITSJR: Hackeo etico

Cotizaciones Liverpool

Cotizaciones Liverpool

Radiografía de la columna. Anatomía Radiografía normal.

Radiografía de la columna. Anatomía Radiografía normal.

LIVERPOOL TOURIST ATRACTIONS

LIVERPOOL TOURIST ATRACTIONS

5 Hackeo Al Sistema

5 Hackeo Al Sistema

Hackeo WEP

Hackeo WEP

Radiografía Industrial

Radiografía Industrial