¿Qué le robaron a Mercado Libre los hackers Lapsus$?

El grupo de hackers Lapsus$ logró obtener repositorios y usuarios de la base de datos de Mercado Libre, al igual que sus ataques anteriores contra Samsung y NVIDIA, pero ¿qué se llevaron exactamente?.

El grupo de hackers Lapsus$ logró conseguir, tras un hackeo masivo del “codigo fuente”, mas de 24 mil repositorios e información de casi 300 mil cuentas del código fuente de Mercado Libre, según informó el eCommerce. Por suerte, aún no habría podido dar con las tablas que tienen usuarios y sus respectivas contraseñas.

Previo al ataque, los hackers dejaron una encuesta en su canal de Telegram sobre quién debería ser el siguiente target, con varios opciones, entre ellos Mercado Libre/Pago. Por ahora la gente de Lapsus$ no confesó que buscan con esta información, ya que la encuesta finalizará el 13 de Marzo.

Este código fuente y la data extraída, según explicó Mercado Libre mediante un comunicado oficial, dice que es solo data y no información sensible, ya que no lograron vulnerar contraseñas de usuarios, ni balances de cuenta, inversiones, información financiera o de tarjetas de pago. Jorge Abreu, Site Reliability Engineer y columnista de Cultura Geek TV todos los domingos 22hs, nos cuenta en detalle como funciona este código y cuál es su alcance.

Cuando hablamos de hackers lo estamos haciendo en una forma generalizada para referirse a atacantes, ya que hackers se le llama también a los expertos en Seguridad Informática que trabajan para evitar ataques.

¿Qué es el código fuente?

El código fuente es, haciendo una analogía con la cocina, “la receta” o el paso a paso escrito en un lenguaje interpretable por un ser humano de cómo funciona internamente un programa. Dependiendo del lenguaje de programación, este “se compila” en código que entiende la computadora y luego ejecuta. Un ejemplo básico de código fuente podría ser el código detrás de un botón del login de una pagina web, en donde este se encarga de buscar el usuario que ingresamos, chequear la contraseña ingresada y permitir la entrada al sitio o rechazarlos con un mensaje de usuario o contraseña incorrectos.

¿Cómo es el robo de un código fuente?

El robo de código fuente puede suceder de muchas formas, algunas mas sofisticas que otras, pero el vector más común siempre es el error humano. Para trabajar con código fuente los programadores se conectan a un servidor que se llama “repositorio“, hoy en día la tecnología para administración de repositorios es mas conocida como “git“. Este lugar es donde una empresa puede decidir entre tener el código en un servidor propio o en la nube.

Para robar este código, los hackers pueden encontrar vulnerabilidades en el servidor de repositorio o en otros servidores y lograr extraer el código desde otro lugar. De todas maneras el vector de ataque mas común siempre son los humanos, ya que para descargar el código fuente con el que tiene que trabajar un programador existe algo a lo que le decimos “llave ssh“. Creando la analogía de una llave y un cerrojo. El programador tiene la llave (llamada “llave privada“) y al servidor repositorio se sube un cerrojo (llamada “clave privada“) que solo funciona con la llave del programador.

Pero tal como pasa con las llaves físicas, si alguien obtiene la “llave privada” de un programador se puede hacer pasar por este y descargarse todo código fuente al que tenga acceso en el repositorio prácticamente sin hackear nada y virtualmente indetectable dependiendo de qué tan ajustados están los sistemas de seguridad de una empresa o donde esté el servidor repositorio.
Lapsus$ Mercado Libre

¿En qué afecta y para qué sirve un código fuente a los hackers?

Afecta en todo, absolutamente todo. Debe ser la peor pesadilla de cualquier empresa, solo superado por tener leaks de datos personales y los ataques de ransomware.

En seguridad como decíamos antes, el código fuente es la receta paso a paso de como funciona un programa, al tener acceso a esta receta puedes saber exactamente cómo interpreta las cosas del otro lado el servidor de la compañía, que tipo de encriptación usa, a donde envía los datos, a donde busca a qué base de datos conectarse para guardar la información. En sistemas a una caja de texto para poner un nombre de usuario, una descripción, o subir una foto, se los llama métodos de entrada, al tener acceso al código fuente un atacante ya no necesita intentar descubrir “qué pasa si subo una foto que en realidad no es una foto?” “Que pasa si pongo un usuario que sean todos signos de guión o interrogación?”, ahora tiene acceso a leer literalmente el paso a paso de cómo son esos datos interpretados, qué datos espera y cuáles no, cómo los procesa y potencialmente como abusar de ese sistema. Con lo que el acceso al código de fuente le sirve para lograr aún mas otros accesos.

Siguiendo con la seguridad, uno de los peores miedos cuando uno administra repositorios de código fuente es que un desarrollador sin querer se le haya olvidado una password dentro del código, lo que en la jerga se le llama “hardcodeada”, muchas veces durante las fases de desarrollo es común que los desarrolladores usen passwords dentro del código para no perder demasiado tiempo con los sistemas administración de contraseñas seguras.

Cada tanto en alguna empresa, siempre pasa que a alguien se le olvida una contraseña puesta en medio del código, la diferencia es que a ninguna de estas empresas se les filtra el código de fuente a internet, con lo cual nunca pasa de ser un incidente leve sin demasiados riesgos, aca si eso paso, y alguien no lo vio, potencialmente los hackers pueden estar leyendo hasta la ultima linea de codigo en donde el mas mínimo desliz puede terminar en caos.
Lapsus$ Mercado Libre

Por el lado del negocio, y suponiendo que alguien tiene absolutamente todos los repositorios de código, prácticamente ya no hay secretos comerciales. “¿Cuál es el algoritmo para estar en primera página? ¿Cómo se procesan los pagos? ¿Cómo se envían las facturas? ¿Cómo se hace el trackeo de los envíos? ¿Cómo funcionan los sistemas de moderación? Cómo funcionan los sistemas antifraude?” Todo potencialmente puede estar en el código fuente, y todo potencialmente puede ser abusado por un atacante, o vendido a competidores.

¿En qué afecta al usuario?

Y por el lado del usuario final, se puede utilizar ese código para desarrollar técnicas de phishing mas sofisticadas y targeteadas. Supongamos que gracias a poder leer el código fuente ahora un atacante puede ver cuando un pedido está por ser entregado, entonces desarrolla un email o mensaje de phishing en donde le envía a la víctima un mensaje de “Tu pedido de X cosa hoy va a ser entregado, hace click aquí para ver el progreso.” La víctima al saber que efectivamente le va a llegar un pedido porque fue lo último que vio al comprar el producto, es mas probable que haga click, ingrese su usuario y contraseña logrando así, la obtención de datos. Envían ese mismo mail de forma random a cualquiera esperando que de casualidad algún porcentaje de personas haya hecho una compra últimamente.

Siempre hay que activar las contraseñas de doble factor en cualquier servicio que consumamos, sobre todo si nos puede afectar económicamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *