Abuso de la API de Dell para robar 49 millones de registros de clientes

El actor de amenazas detrás de la reciente violación de datos de Dell reveló que extrajeron información de 49 millones de registros de clientes utilizando una API de portal de socios a la que accedieron como una empresa falsa.


Ayer, se informó que Dell había comenzado a enviar notificaciones advirtiendo a los clientes que sus datos personales fueron robados en una violación de datos.

Esta filtración de datos contenía datos de pedidos de clientes, incluida información de garantía, etiquetas de servicio, nombres de clientes, ubicaciones instaladas, números de clientes y números de pedido.

{getCard} $type={post} $title={Recomendado}

Un actor de amenazas conocido como Menelik puso los datos a la venta en el foro de piratería Bbreach el 28 de abril, y los moderadores pronto eliminaron la publicación.

Menelik le dijo a BleepingComputer esta mañana que pudieron robar los datos después de descubrir un portal para socios, revendedores y minoristas que podría usarse para buscar información de pedidos.

Menelik dice que pudo acceder al portal registrando varias cuentas con nombres de empresas falsos y tuvo acceso en dos días sin verificación.

"Es muy fácil registrarse como socio. Sólo tienes que rellenar un formulario de solicitud", dijo Menelik.

"Ingresas los detalles de la empresa, la razón por la que quieres convertirte en socio, y luego simplemente te aprueban y te dan acceso a este portal 'autorizado'. Acabo de crear mis propias cuentas de esta manera. Todo el proceso tarda entre 24 y 48 horas".

Una vez que obtuvieron acceso al portal, Menelik dijo que habían creado un programa que generaba etiquetas de servicio de 7 dígitos y las enviaron a la página del portal a partir de marzo para extraer la información devuelta.

Como el portal no incluía ninguna limitación de velocidad, el actor de amenazas afirma que podría recopilar la información de 49 millones de registros de clientes generando 5.000 solicitudes por minuto durante tres semanas, sin que Dell bloqueara los intentos.

Menelik dice que los registros de clientes robados incluyen la siguiente falla de hardware:

  • Monitores: 22.406.133
  • Portátiles Alienware: 447.315
  • Chromebooks: 198.713
  • Portátiles Inspiron: 11.257.567
  • Computadoras de escritorio Inspiron: 1,731,767
  • Portátiles Latitude: 4.130.510
  • Optiplex: 5.177.626
  • Potencia: 783,575
  • Ordenadores de sobremesa de precisión: 798.018
  • Cuadernos de precisión: 486.244
  • Cuadernos Vostro: 148.087
  • Escritorios Vostro: 37,427
  • Portátiles Xps: 1.045.302
  • Ordenadores de sobremesa XPS/Alienware: 399.695

Los actores de amenazas dijeron que enviaron un correo electrónico a Dell el 12 y 14 de abril para informar del error a su equipo de seguridad, compartiendo el correo electrónico. Sin embargo, el actor de amenazas admitió haber recopilado 49 millones de registros antes de ponerse en contacto con la empresa.

El actor de amenazas dice que Dell nunca respondió a los correos electrónicos y no corrigió el error hasta aproximadamente dos semanas después, más o menos en el momento en que los datos robados se pusieron a la venta por primera vez en el foro de piratería Breach Forums.

Dell confirmó a que recibieron los correos electrónicos del actor de amenazas, pero se negaron a responder más preguntas, ya que dicen que el incidente se ha convertido en una investigación activa de las fuerzas del orden.

{getCard} $type={post} $title={Recomendado}

Sin embargo, la compañía afirma que ya habían detectado la actividad antes de recibir el correo electrónico del actor de amenazas.

"Tengamos en cuenta que este actor de amenazas es un criminal y hemos notificado a las fuerzas del orden", dijo Dell.

"No estamos revelando ninguna información que pueda comprometer la integridad de nuestra investigación en curso o cualquier investigación por parte de las fuerzas del orden".

"Antes de recibir el correo electrónico del actor de amenazas, Dell ya estaba al tanto del incidente e investigando, implementando nuestros procedimientos de respuesta y tomando medidas de contención. También hemos contratado a una empresa forense externa para que investigue".

TechCrunch informó por primera vez del uso de esta API por parte de Menelik para extraer datos de los clientes de Dell.

Las API son cada vez más abusadas en las filtraciones de datos

Las API de fácil acceso se han convertido en una gran debilidad para las empresas en los últimos años, ya que los actores de amenazas abusan de ellas para extraer datos confidenciales y venderlos a otros actores de amenazas.

En 2021, los actores de amenazas abusaron de un error de la API de Facebook para vincular números de teléfono a más de 500 millones de cuentas. Estos datos se filtraron casi de forma gratuita en un foro de piratería, solo requiriendo una cuenta y pagando $ 2 para descargarlos.

Más tarde ese año, en diciembre, los actores de amenazas explotaron un error de la API de Twitter para vincular millones de números de teléfono y direcciones de correo electrónico a cuentas de Twitter, que luego se vendieron en foros de piratería.

Más recientemente, el año pasado se explotó una falla en la API de Trello para vincular una dirección de correo electrónico a 15 millones de cuentas, que una vez más se pusieron a la venta en un foro de piratería. Más tarde, los datos se compartieron con Have I Been Pwned para emitir notificaciones a los expuestos en la infracción.

Si bien todos estos incidentes involucraron el raspado de datos, se permitieron debido a la facilidad de acceso a las API y la falta de una limitación de velocidad adecuada para la cantidad de solicitudes que se pueden realizar por segundo desde el mismo host.