La filtración de datos de Epik se produjo en septiembre y octubre de 2021 y tuvo como objetivo la empresa estadounidense de alojamiento web y registrador de dominios Epik . La infracción expuso una amplia gama de información, incluida información personal de los clientes, historial de dominio y registros de compras, información de tarjetas de crédito, correos electrónicos internos de la empresa y registros del servicio de privacidad WHOIS de la empresa . [1] [2] Más de 15 millones de direcciones de correo electrónico únicas quedaron expuestas, pertenecientes a clientes y no clientes cuya información había sido eliminada . [3] Los atacantes responsables de la violación se identificaron como miembros del colectivo hacktivista Anonymous . [1] Los atacantes publicaron un conjunto de datos inicial de 180 gigabytes el 13 de septiembre de 2021, aunque los datos parecían haber sido extraídos a finales de febrero del mismo año. [4] El 29 de septiembre se realizó una segunda versión, esta vez que contenía imágenes de disco de arranque. [5] Se informó que una tercera versión el 4 de octubre contenía más imágenes de disco de arranque y documentos pertenecientes al Partido Republicano de Texas , un cliente de Epik. [6]
Epik es conocido por brindar servicios a sitios web que alojan contenido de extrema derecha , neonazi y otros contenidos extremistas . [7] [8] Los clientes pasados y presentes de Epik incluyen Gab , Parler , 8chan , Oath Keepers y Proud Boys . [1] [9] El hackeo fue descrito como "una Piedra de Rosetta para la extrema derecha" porque ha permitido a investigadores y periodistas descubrir vínculos entre sitios web, grupos e individuos de extrema derecha. [1] La cofundadora de Distributed Denial of Secrets (DDoSecrets) , Emma Best, dijo que los investigadores habían estado describiendo la violación como "los Papeles de Panamá de los grupos de odio". [1]
Posteriormente, Epik fue criticado por prácticas laxas en materia de seguridad de datos , en particular por no cifrar adecuadamente los datos confidenciales de los clientes. [1]
Anonymous es un colectivo hacktivista internacional descentralizado que es ampliamente conocido por sus diversos ataques cibernéticos contra varios gobiernos e instituciones gubernamentales, corporaciones y la Iglesia de Scientology . [10] Principalmente activo a finales de la década de 2000 y principios de la de 2010, el perfil mediático de Anonymous disminuyó en 2018. [11] [12] El grupo resurgió en 2020 para apoyar las protestas de George Floyd y otras causas. [13] [14]
En septiembre de 2021, Anonymous pidió a la gente que apoyara la "Operación Jane", un esfuerzo del grupo para oponerse a la Texas Heartbeat Act , una prohibición del aborto de seis semanas que entró en vigor el 1 de septiembre. El 4 de septiembre, Epik había comenzado a brindar servicios a un sitio web de "denunciantes" dirigido por la organización antiaborto Texas Right to Life, que permitía a las personas denunciar de forma anónima a presuntos violadores del proyecto de ley. El sitio web, que se trasladó a Epik después de que GoDaddy le negara los servicios , se desconectó después de que Epik le dijera al grupo que habían violado sus términos de servicio al recopilar información privada sobre terceros. [15] El 11 de septiembre, Anonymous hackeó el sitio web del Partido Republicano de Texas , alojado en Epik, para reemplazarlo con texto sobre la Operación Jane. [16] [17]
Los piratas informáticos que se identificaron como parte de Anonymous anunciaron el 13 de septiembre de 2021 que habían obtenido acceso a grandes cantidades de datos de Epik, incluidos detalles de compra y transferencia de dominio, credenciales e inicios de sesión de cuentas, historial de pagos, correos electrónicos de empleados y claves privadas no identificadas . [2] Los piratas informáticos afirmaron que habían obtenido "datos de una década", incluidos todos los datos y registros de los clientes de todos los dominios alojados o registrados a través de la empresa, y que incluían contraseñas mal cifradas y otros datos confidenciales almacenados en texto sin formato . [2] [19] La organización Distributed Denial of Secrets (DDoSecrets) anunció más tarde ese día que estaban trabajando para seleccionar los datos filtrados para su descarga pública, y dijo que consistían en "180 gigabytes de información de usuario, registro, reenvío y otra información". ". [20]
Posteriormente, periodistas e investigadores de seguridad confirmaron la veracidad del hackeo y los tipos de información que habían sido expuestos. [18] [19] [7] [21] Los datos incluidos en la filtración parecían haber sido filtrados a finales de febrero de 2021. [4] Más tarde se confirmó que la filtración incluía aproximadamente 15 millones de direcciones de correo electrónico únicas, que pertenecían tanto a clientes y no clientes cuyos datos habían sido extraídos de los registros de WHOIS . [3] También incluyó 843.000 transacciones de un período de más de diez años y casi un millón de facturas. [22] Un ingeniero que realizó una evaluación de impacto inicial para un cliente de Epik dijo que "toda la base de datos principal" de Epik, que contenía nombres de usuario de cuentas, contraseñas, claves SSH y números de tarjetas de crédito almacenados en texto sin formato, también se había visto comprometida. [18] En los datos filtrados también se encontraron memorandos internos que describen citaciones y solicitudes de preservación. [22] Muchas de las solicitudes de conservación de datos parecían estar relacionadas con investigaciones posteriores al ataque al Capitolio en enero . [23]
Un investigador de seguridad que habló con TechCrunch dijo que había identificado una vulnerabilidad de seguridad con Epik en enero, que había informado a Rob Monster , director ejecutivo de Epik, pero que no había sido reconocida. La vulnerabilidad habría permitido a los atacantes ejecutar código arbitrario en los servidores de Epik, y el investigador dijo que sospechaba que los atacantes de Anonymous habían explotado la misma vulnerabilidad. Monster le dijo a TechCrunch que había visto el informe, pero lo confundió con spam . [4]
El 29 de septiembre, Anonymous publicó otros 300 gigabytes de datos, incluidas imágenes de discos de arranque . [5] [6] Según un experto en ciberseguridad que habló con The Daily Dot , "Los archivos son una cosa, pero una imagen de disco de máquina virtual le permite iniciar todo el servidor de la empresa por su cuenta. Generalmente vemos infracciones con volcados de bases de datos, documentos, archivos de configuración, etc. En este caso, estamos hablando de la imagen completa del servidor, con todos los programas y archivos necesarios para alojar la aplicación que sirve." La segunda filtración incluyó claves API y credenciales de inicio de sesión en texto plano para los sistemas de Epik, así como para servicios como Coinbase , PayPal y la cuenta de Twitter de la compañía . [5]
Según se informa, una tercera publicación del 4 de octubre contenía más imágenes de discos de arranque, así como documentos pertenecientes al Partido Republicano de Texas . [6]
El 13 de septiembre, el día en que se publicaron los datos pirateados, Epik dijo en declaraciones a los medios de comunicación que "no tenían conocimiento de ninguna violación". [20] [24] Cuando la empresa no reconoció la infracción, los atacantes destrozaron el sitio web de soporte de Epik. [7] El 15 de septiembre, la empresa envió un correo electrónico a los clientes notificándoles sobre "un presunto incidente de seguridad". [18]
Monster reconoció el hackeo en una videoconferencia pública de cuatro horas el 16 de septiembre en PrayerMeeting.com, que The Daily Dot describió como "caótica y extraña", y que Le Monde caracterizó como "posiblemente una de las respuestas más extrañas a un incidente de seguridad informática en la historia". , y que CNN describió como "como una charla nocturna sobre una fogata, aunque con un elemento surrealista". [21] [25] [26] Durante la conferencia, Monster recitó oraciones para ahuyentar a los demonios, advirtió a los participantes en la conferencia que no alteraran los datos pirateados debido a que estaban "malditos" y habló en términos amistosos con los neonazis. Andrew Auernheimer y fundador de Anonymous Aubrey Cottle . [26] También durante la conferencia, Cottle negó haber llevado a cabo la violación de datos de Epik, pero agregó que "nunca, jamás, jamás admitiría un delito federal en un espacio como este". [26]
La compañía confirmó públicamente la violación el 17 de septiembre y comenzó a enviar correos electrónicos a los clientes para informarles el 19 de septiembre. [3] Servicio de monitoreo de violación de datos ¿Me han engañado? También comenzó a enviar correos electrónicos a todas las direcciones que habían sido expuestas el 19 de septiembre. [3]
Epik presentó un aviso de violación de datos en el estado de Maine, en el que informaron que 110.000 personas se habían visto afectadas por la violación y que los datos de cuentas financieras y tarjetas de crédito habían quedado expuestos. En declaraciones al Washington Post , un portavoz de Epik afirmó que se habían filtrado hasta 38.000 números de tarjetas de crédito. [22]
Monster dijo más tarde sobre el truco que "no nos mató" y "nos hará más fuertes". [26]
El hack fue descrito como "una Piedra Rosetta para la extrema derecha", permitiendo a investigadores y periodistas conectar enlaces entre varios sitios web, grupos e individuos de extrema derecha que utilizaban los servicios de Epik. [1] La cofundadora de DDoSecrets , Emma Best, dijo que los investigadores habían estado describiendo la violación como "los Papeles de Panamá de los grupos de odio", y dijo que los investigadores estarían "a largo plazo" con la cantidad de datos que habían sido expuestos. [1] [27] The Columbia Journalism Review comparó de manera similar la filtración de datos con la filtración de los Papeles de Panamá, afirmando que "Al igual que los Papeles de Panamá, obtener información de la enorme base de datos y darle sentido requiere mucho tiempo, lo que puede explicar por qué la cobertura del hackeo de Epik quedó rezagado..." [28] Los datos del hackeo se utilizaron para mostrar que Ali Alexander , un activista de extrema derecha y figura clave en la campaña de la teoría de la conspiración " Stop the Steal ", había trabajado para ocultar sus conexiones con Más de 100 sitios web después del ataque al Capitolio de Estados Unidos en 2021 . [29]
La investigadora sobre extremismo e informática Megan Squire dijo sobre el ataque: "Es enorme. Puede que sea la mayor filtración de estilo de dominio que he visto y, como investigadora sobre extremismo, es sin duda la más interesante". [1] La antropóloga de Internet Gabriella Coleman predijo que el hackeo obligaría a los grupos de extrema derecha a buscar proveedores de seguridad fuera de los Estados Unidos, y dijo que el hackeo había "confirmado muchos de los detalles del ecosistema de extrema derecha". Emily Crose, analista de ciberseguridad e investigadora de extremismo en línea, dijo que la violación probablemente intensificaría la paranoia existente entre los grupos de extrema derecha, que ya se sentían vigilados después del ataque al Capitolio. [27]
Un ingeniero que realizó una evaluación de impacto inicial para un cliente de Epik le dijo a The Daily Dot que "[Epik] está completamente comprometido de extremo a extremo ... Quizás lo peor que he visto en mis 20 años de carrera". [18] Después del ataque, The Washington Post informó que "los protocolos de seguridad de Epik han sido objeto de burla entre los investigadores, quienes se han maravillado ante la aparente falla del sitio en tomar precauciones de seguridad básicas". [1] Epik había estado almacenando contraseñas utilizando MD5 sin sal , lo que las hacía fáciles de descifrar. Otros datos confidenciales, incluida la información de la tarjeta de crédito, se almacenaban en texto sin formato . [1] [18]
David Vladeck , profesor de derecho de Georgetown y ex director de la oficina de protección al consumidor de la Comisión Federal de Comercio (FTC) , dijo: "Dados los alardes de Epik sobre la seguridad y el alcance de su alojamiento web, creo que sería un objetivo de la FTC". especialmente si la empresa fue advertida pero no tomó medidas protectoras". [1]
La sucursal de Seattle de la Oficina Federal de Investigaciones (FBI) le dijo a CNN que no podían confirmar ni negar la existencia de una investigación sobre la violación de datos de Epik. [26]
Dos semanas después de la publicación inicial de los datos, los piratas informáticos publicaron datos tomados de la milicia estadounidense de extrema derecha Oath Keepers . Los piratas informáticos responsables de la filtración de Oath Keepers no afirmaron tener ninguna conexión con Anonymous ni establecieron ninguna conexión con la violación de Epik, aunque algunos periodistas han especulado que la filtración puede haber estado relacionada o haber sido posible gracias a información de los datos de Epik. [6] [30] Los datos de Oath Keepers constan de aproximadamente 3,8 gigabytes de archivos de correo electrónico, registros de chat y una lista de miembros. Los datos también están siendo difundidos por DDoSecrets, aunque el grupo restringió la lista de miembros y archivos que contienen información sobre donantes y finanzas a los periodistas. [30] Los Oath Keepers habían sido clientes de Epik desde enero de 2021, cuando su sitio web fue desconectado después de que su proveedor de alojamiento cancelara el servicio a raíz del ataque al Capitolio. [31]