📰 Artículos

Crackers roban datos de 120.000 clientes de una empresa de hosting Española

raxor 11 junio 2007 21:43 ✎

⋮

Está apareciendo en los medios una preocupante noticia acerca del robo de los datos de 120.000 clientes de una importante empresa de Hosting Española.

Lo mas grave del asunto, es que las fuentes de información no indican de que empresa se trata, no permitiendo a sus clientes tomar las medidas oportunas de protección.

Según El País han logrado robar claves de e-mail de usuarios, datos bancarios, teléfonos y domicilios personales de unas 120.000 personas, según fuentes conocedoras de las pesquisas. Además de obtener ilícitamente esos datos, los crackers lograron inyectar un virus en miles de páginas web pertenecientes a los usuarios afectados, entre los que figuran conocidas empresas españolas.

De momento lo único que sabemos es quienes no han sido. Acens, en una nota de prensa informa a sus clientes que no han sufrido ataque alguno, Abansys ha hecho lo propio por correo electrónico, desconocemos si alguna otra empresa ha notificado a sus clientes. El gesto de las empresas no afectadas ha sido muy valorado por sus clientes dado el clima de intranquilidad que genera el no conocer el nombre de la empresa afectada.

Es inadmisible que una empresa del calado de la que se comenta en la noticia prefiera dar la callada por respuesta en un caso tan serio y donde no solo los datos de las empresas están expuestas sino todas aquellas bases de datos que manejaban a su vez de terceros.

De momento estamos esperando que dice la principal empresa de hosting Española, Arsys, algunos de los dominios de mi empresa y propios están alojados en sus servidores, la imagen de acceso al panel de control nos deja un poco intranquilos, sobretodo si tenemos en cuenta que la clave que utilizamos es ya de alta seguridad incluyendo todo lo que pide Arsys en el formulario.

Nota aclaratoria de Arsys dirigida a los usuarios de BandaAncha.st:

Bandancha.st hace referencia a la noticia publicada por distintos medios de comunicación ayer, 11 de junio. Esta noticia alude a una empresa similar a arsys.es y su información ha generado cierta alarma entre nuestros clientes, aunque el caso descrito no corresponde a arsys.es.

arsys.es sufrió un incidente de seguridad el pasado mes de abril, del que se informó puntualmente a los clientes afectados y en el que se tomaron todas las medidas técnicas, de seguridad y judiciales correspondientes, pero no es el mismo caso ni tiene la misma magnitud. En ese sentido, queremos transmitirle la siguiente información:

En el mes de abril, arsys.es detectó un incidente de seguridad que no se corresponde en su totalidad con el descrito en los medios.
En el incidente sufrido por arsys.es se vio comprometida parte de la información de los datos de algunos de nuestros clientes, pero en ningún caso se vieron comprometidas contraseñas o claves de cuentas de correo electrónico, ni bancarias, ni de tarjetas de crédito. Por lo tanto, no ha existido riesgo de uso indebido de los datos para cometer fraude electrónico o de acceso al contenido de las cuentas de correo de nuestros clientes.
Posteriormente, y con las claves FTP obtenidas por los delincuentes, se recibió un ataque contra aproximadamente un 1,5% de los sitios web alojados en arsys.es. La consecuencia de este ataque fue la inserción en dichas páginas web de un enlace hacia un servidor externo desde el que se descargaba un código malicioso.
arsys.es, inmediatamente detectado el incidente, adoptó las medidas técnicas y organizativas oportunas. De inmediato se eliminaron los enlaces de las páginas web afectadas, y se establecieron todas las medidas preventivas a nuestro alcance. Se informó puntualmente a los clientes afectados, y se recomendaron medidas de seguridad complementarias a la totalidad de los clientes.
arsys.es, cumpliendo los requerimientos legales y con la diligencia debida, concluyó las acciones realizadas en relación con esta incidencia con la presentación de una denuncia ante el Grupo de Ciberterrorismo del Servicio de Información de la Dirección General de la Guardia Civil. Aplicando criterios de prudencia y proporcionalidad, y como no puede ser de otra forma, arsys.es ha mantenido la máxima discreción posible para no entorpecer las investigaciones policiales y judiciales pertinentes.

Arsys se ha pronunciado en una nota de prensa en la Asociación de Internautas, reconocen que recibieron un ataque que afectó al 1.5% de sus clientes lo que puede corresponderse con la noticia.

Almeida aporta otro punto de vista acerca de la filtración de la noticia a los medios, interesante documento.

BocaDePez 11 junio 2007 21:51

⋮

El acceso a clientes de Arsys ha vuelto a cambiar... yo tengo un hosting con ellos y no dicen ni que si ni que no por teléfono... Todo es bastante extraño

Lo0p 11 junio 2007 21:54

⋮

arsys.es/empresa

✖

Lo0p 11 junio 2007 21:55

⋮

Nota de prensa de arsys

raxor 11 junio 2007 22:03

⋮

Gracias. Acababa de ver la nota de la AI y la he añadido en la nota del moderador, como cliente de Arsys creo que deberían haber notificado a todos los clientes con esa información cuando ocurrió en Abril.

No me parece bien enterarme cuando puede que ya tengan el código fuente de mis webs aunque no me hayan atacado.

El tratamiento de Arsys ha sido nefasto, seguridad por oscuridad como diria un amigo mio, y mientras como he podido ver en los comentarios de kriptopolis echando la culpa de los hackeos a los clientes.

JoeDalton 11 junio 2007 22:10

⋮

Esa pág. no está accesible.

✖

raxor 11 junio 2007 22:21

⋮

Por si la borran.

BocaDePez 11 junio 2007 21:54

⋮

YO trabajo en arsys y os puedo confirmar que son ellos.

✖

BocaDePez 12 junio 2007 09:17

⋮

si trabajas ahí tendrías que decir nosotros no ellos

✖

Frankie2004 12 junio 2007 10:08

⋮

Eso implica que los trabajadores ni siquiera se sienten parte de la empresa ... subcontratados, como todo quisqui en este mundillo, supongo.

✖

BocaDePez 12 junio 2007 10:52

⋮

Eso solo implica que los trabajadores no se sienten parte de la empresa. Lo cual puede ser achacable tanto a la empresa, como a los trabajadores, como a ambos.

✖

BocaDePez 12 junio 2007 13:26

⋮

eso si de verdad es un trabajador de Arsys...

✖

BocaDePez 12 junio 2007 22:17

⋮

BocaDePez 11 junio 2007 21:57

⋮

Hola compañeros,es la primera vez que posteo aqui,pero puedo casi asegurar al 100 por 100 que la empresa a la que se ahce mencion es Arsys.

MOTIVOS:

-Desde hace poco tiempo, Arsys te obliga a cambiar de nuevo tu clave de acceso Ftp, sin motivo aparente, y cuya clave tiene que tener mayusculas, minusculas y numeros (muy segura pero un coñazo)

-Quizas alguno de nosotros nos acordemos el robo que sufrio terra hace varios años, en este caso los clientes de e-mail afectados recibieron en su casa una carta con su clave nueva.

-Y por ultimo (por ser la menos veraz) un compi mio de Madrid me comento esto mismo hace cosa de una semana mientras cenabamos en el Hard Rock, y apunto que la empresa afectada era Arsys.

Yo de momento mis dominios en Arsys los estoy migrando a un servidor propio en USA, cada uno ya sabre lo que tiene que hacer.

BocaDePez 11 junio 2007 22:00

⋮

Soy cliente de Arsys, hace un mes o más (que es lo que más nos preocupa) encontramos que cuando cargabas la web que tenía hosteada con ellos salía una ventana para descargar un archivo .exe y hoy leo que los hackers pusieron troyanos que se ejecutaran nada más cargar las páginas. Y coincidencia que ahora en Arsys te obligan a cumplir unos mínimos de seguridad cuando cambias una password.

ebofe 11 junio 2007 23:22

⋮

Lo de Arsys menuda verguenza, esto es como Chernobil, estos .......... han estado 1 mes con la boca cerrada y cuando todo apunta a ellos se escusan.

No creo la veracidad de lo que declara el comunicado de Arsys. Por su parte admitir que han perdido datos del tipo, numero de cuenta y datos personales de clientes, podría dar lugar a multiples demandas por perjuicios derivados.

Esto no puede quedar asi, y hay que dejar claro a todo el mundo que Arsys es la empresa a la que le han robado los datos, y que cualquier cliente de Arsys puede ser victima de que le vacien la cuenta del banco o suplanten su identidad, entre otras cosas.

Y en todo caso, si Arsys es la aludida directamente por la noticia del Pais, esta no deberia demandar a el Pais en caso de que la información del Pais esté alterada de la realidad.

No creo que lo haga porque la información que da el Pais parece veraz al 100 %

Creo que seria justo cambiar el titulo de esta noticia.

Crackers roban datos de 120.000 clientes de Arsys

✖

daleboca 12 junio 2007 09:28

⋮

Completamente de acuerdo, una vergüenza. Y además no tiene ningún sentido esconderse bajo tierra si has sido la empresa afectada, porque tarde o teemprano (más temprano que tarde) los usuarios de sus servicios se darán cuenta de que algo ha fallado, con lo que el cabreo será aún mayor. Si yo fuera cliente de Arsys, sinceramente, no les pediría más que una carta en la que reconociésen el ataque, enviada al dia siguiente del mismo, y a cambiar contraseñas toca... es muy grave que roben esa serie de datos, pero que le vas a hacer? escondiéndote no solucionas nada, mejor da la cara y da una oportunidad a tus clientes de minimizar los efectos de éste robo mediante el pertinente cambio de contraseñas.

raposu 11 junio 2007 23:36

⋮

¿Sacan un comunicado y ahora lo quitan? Se los ve decididos y con las ideas claras, si son asi en temas de seguridad se explica todo

✖

K-Beast 12 junio 2007 10:49

⋮

Ahi le has dao, hoy ya no se puede ver el comunicado..

BocaDePez 12 junio 2007 03:42

⋮

¿¿Me puede decir alguien por qué las empresas nunca separan los datos sensibles de los usuarios hacia un PC sin conexión a internet?? Sólo estarían en las bases de datos online los últimos registrados.

WiLZy 12 junio 2007 09:44

⋮

Es muy triste que una empresa como Arsys exponga datos sensibles de esta manera, pero casi es peor que no tomen las medidas oportunas para "subsanar" las posibles pérdidas de sus clientes ¿y si a los "crackers" les hubiese dado por borrar por completo todas las webs?, otro gallo cantaría.

Lamentable.

BocaDePez 12 junio 2007 09:48

⋮

La mas elemental etica dicta que si te pasa algo asi, el interes del cliente debe primar sobre la imagen de la empresa.

Como crees que quedara la imagen de la empresa si a un cliente le limpian la cuenta y se descubre que ha sido porque a ti te han roto la base de datos?

Lo que corresponde es emitir un aviso de seguridad urgente, a todos los clientes, para que comprueben sus datos, y extremen las precauciones con contraseñas y movimientos bancarios, y no esconder la cabeza a ver si asi se soluciona el problema solo...

Un cerote para Arsys por su deficiente seguridad, y otro enorme de grande por su actitud a la hora de intentar ocultar los hechos.

Salu2

carlosues 12 junio 2007 11:15

⋮

El hecho es grave, que duda cabe, pero no perdáis de vista el tramendismo con que El País trata la información, a un lego hasta le dará miedo "éste mundillo" ¿Preparando el terreno para el "Cibercontrol"?

BocaDePez 12 junio 2007 11:49

⋮

Hola, yo tengo paginas alojadas en arsys, y la verdad la noticia acojona un poco, que consejos de seguridad deberiamos hacer ahora para estar mas trankilo (si no es tarde ya ,claro) Cambiar contraseñas en arsys, en mis cuentas de banco. Realmente solo con el nº de una cuenta te la pueden limpiar, como?

La verdad es ke no entiendo como esto le puede ocurrir a arsys,

BocaDePez 12 junio 2007 12:22

⋮

Esto afecta a los clientes de piensasolutions????????

raxor 12 junio 2007 14:41

⋮

Añadimos una nota aclaratoria remitida por Arsys a los usuarios de bandaancha.st.

Almeida aporta otro interesante punto de vista a la noticia:

bufetalmeida.com/199/la-revelacion-de-sa…bernabe.html

BocaDePez 12 junio 2007 14:44

⋮

A mi ma parece que os estais tomando el tema por la tremenda. El Pais.com le pone dramatismo y medio internet parece el tomate con las exageraciones, que parece que van a venir los hackers a casa y robar a nuestros hijos...

Arsys ya ha confirmado que no se vieron comprometidas contraseñas o claves de cuentas de correo electrónico, ni bancarias, ni de tarjetas de crédito, que mantuvo silencio por no entorpecer las invstigaciones, avisando sólo a los afectados y que aplicó las medidas técnicas necesarias para evitar más ataques. Dadle un poco de confianza, puesto que de estar mintiendo sobre estos hechos lo único que conseguirían es hundirse más y más, y a una entidad así eso no les conviene en absoluto.

Es lo que tiene ser una empresa tan importante, que puedes convertirte en el objetivo de mentes malintencionadas.

Por cierto, el comunicado de prensa está aquí:

arsys.es/acerca-de/comunicado-11-jun-07.htm

✖

BocaDePez 12 junio 2007 14:52

⋮

Si hubiran puesto una nota aclaratoria desde un principio no les habria pasado todo el revuelo que tienen con las noticias en internet. Que llevan desde abril con esta historia. Les pasa por el mutismo.

✖

BocaDePez 12 junio 2007 17:01

⋮

Cierto, creo que arsys tendria que haber tenido algo mas de cintura en este caso, aunque no se que libertad tendra para exponer informacion si como dice su nota de prensa hay una investigacion en marcha.

Tambien es cierto que es como menos sospechoso que si el ataque se produjo hace tiempo se eligiera el dia de ayer, festivo en Logroño segun Almeida, para soltar la informacion en la prensa.

Mi opinion, es que alguien eligio la fecha de la noticia con el objeto de impedir que la gente de arsys pudiera dar una respuesta rapida, y favoreciendo de este modo los rumores y el murmullo. ¿Por que?. Vete tu a saber, competencia empresarial, maquinaciones politicas para preparar el terreno a una futura ley, la divina providencia, E.T...

✖

BocaDePez 12 junio 2007 17:30

⋮

Arsys tiene un servicio tecnico de 24 horas y 365 dias al año (Y seguro que hasta un gabinete de crisis), no importa que sea festivo en la Rioja para dar respuesta a un tema como ese, las primeras noticias por parte de arsys son de las 20:30 en Europa Press y la Asociacion de Internautas.

En cualquier caso yo soy uno de los afectados por las contraseñas del ftp y os puedo asegurar que el correo haciendo refencia al tema llego tres dias despues de que quitasen de mi web el link al troyano (Es posible incluso que lo hubieran quitado ya varias veces) y os puedo asegurar que el tono de ese correo no hablaba de que arsys fuera el atacado (Recibido el 26/04, mi index.html tenia fecha de modificacion de tres dias antes y su estado en ese momento era el correcto) parece mas que la culpa es del cliente.

Pego lo mas importante :

***

Estimado cliente:

El Departamento de Seguridad de arsys.es ha detectado en su página web principal un enlace a un servidor externo, ajeno a arsys.es, desde el que se descargaba un código malicioso cuando un internauta accedía a su sitio web. Este enlace se había introducido a través de la cuenta de FTP de su dominio nombre.extension.

Esta incidencia ha sido controlada y neutralizada por nuestros técnicos de forma inmediata, que han eliminado dicho vínculo de su página web. No obstante, como medida preventiva, le recomendamos que modifique las contraseñas de las cuentas FTP de sus dominios a la mayor brevedad.

***

Es mas se podian haber hecho muchas cosas si la situacion era delicada o no estaba demasiado clara, por ejemplo bloquear el acceso a traves de ftp hasta que se cambiase la contraseña desde su panel de contral (De hecho varios dias despues obligaron a ello). pero no se hizo nada, solo avisar y en tono que no me convence como cliente que soy, y no decir que habia un problema de seguridad en sus sistemas, cosa que a mi se me paso por la mente nada mas recibir el correo.

Podria meter mas rollo, pero creo que no vale la pena... Mi conclusion es que arsys deberia haber tratado con mas calidad a sus clientes en una situacion como esa, no hace falta dar informacion excesivamente tecnica, simplemente dejar claro cual es el problema.

Es mas en una web que simplemete tengo una pagina en blanco no cambie la contraseña del ftp y entro el troyano varias veces y lo eliminaron otras tantas y no bloquearon la cuenta ftp hasta pasadas mas de dos semanas... Imagino que no tendrian demasiado claro todavia cual era el alcance del ataque...

He leido en otros foros mucha gente afectada por este problema e imagino que poco a poco apareceran muchos mas...

Un saludo
Un visitante ocasional

BocaDePez 12 junio 2007 18:15

⋮

A ver, no creo que se trate de dramatismo, puesto que hoy en dia a nadie le va a soprender realmente que hayan podido comprometerse unos datos, que sean responsabilidad de servidores de Arsys, del propio FBI o del pc de la vecina de al lado. no es nada nuevo, siempre estaremos a la merced del ultimo agujero de algun sofware. eso si , si se la clavan a un "grande", hara mas ruido desde luego, "Es lo que tiene ser una empresa tan importante".

Ahora bien, lo que me parece realmente preocupante es el oscurantismo con el que Arsys en este caso ha ido tratando el asunto. En EEUU me parece que ya quedo claro hace mucho tiempo que la unica forma de tratar un problema de estos y no perder definitivamente todo credito de imagen en el asunto es avisar a todos los clientes cuanto antes, demostrandoles asi que no se les toma por unos niñatos estupidos y inutiles. lo de no decir nada para no entorpecer la investigacion es otra chorrada más como un piano de grande, como todo lo que nos han ido soltando a los clientes cuando les ibamos diciendo que unos cuantos de sus servidores web de un dia para otro empezaron a rendir como al 25% de sus capacidades habituales en terminos de velocidad de tratamiento de paginas aspx por ejemplo, y que mientras algunos nos pegamos varios días intentando averiguar que podia explicarlo, de repente y otra vez sin explicacion, basicamente en mi caso el sabado por la noche, volvieron a su rendimiento habitual.

no confiare más en Arsys durante mucho tiempo, y para nada porque alguien les ha hecho el favor de hacer su trabajo de auditoría de seguridad por ellos, que eso le pasa a cualquiera, sino porque no han tenido la lucidez suficiente como para CONFIAR ellos en sus clientes, "y a una entidad así eso no les conviene en absoluto"

saludos

BocaDePez 12 junio 2007 20:04

⋮

Si claro, y vas tu y te lo crees. O eso o que trabajas en o para Arsys y quieres hacernos comulgar con ruedas de molino.

✖

BocaDePez 12 junio 2007 23:55

⋮

Tiene tanta seguridad creer que no han mentido como que lo han hecho. La única diferencia es que la empresa ha dicho lo primero de forma pública y asumiendo sus claras consecuencias, mientras que lo segundo ha surgido motivado por una panda de histéricos y alarmados internáutas que se han dejado llevar, a través de una noticia claramente sensacionalista, por el miedo y en gran parte, el desconocimiento de lo que está pasando o pueda pasar.

Yo no trabajo en ni para arsys, simplemente estoy ya cansado de ver en este y otros muchos medios esta situación. Y es que parece que se estaba esperando a que pasara algo así para tomar un culpable y echar todas las mierdas sobre él, por el largo y penoso vagaje que ha llevado cada uno en sus experiencias de hosting. Ha resultado ser Arsys en esta ocasión, pero estoy seguro que de haber sido otra la reacción hubiera sido la misma o peor.

BocaDePez 12 junio 2007 21:53

⋮

Creo que Arsys ya está empezando a pagar las consecuencias de la desinformación que ha creado.
Toda empresa de hosting puede tener un problema de seguridad, pero nunca se debe transmitir desconfianza al cliente.
Muchas de las grandes empresas de hosting de este país están recibiendo muchos futuros ex-clientes de Arsys estos días y cuando pase el tiempo, en Arsys se darán cuenta de que en este tipo de problemas lo más importante es la claridad hacia el cliente.

valevo 12 junio 2007 23:46

⋮

¿Como podemos creernos ciegamente las justificaciones que se da a si misma la empresa implicada.?.

Por todo lo leido, queda clarisimo que Arsys ha encubierto hasta el ultimo momento todo lo ocurrido.

Ha emitido comunicados a sus clientes, haciendoles responsables de la infección de sus webs.

Ha disfrazado las nuevas medidas de seguridad a la aplicación de una normativa y en ningun momento mencionando ningun ataque.

Por cierto, si los hackers tienen las claves FTP , lo mas seguro es que estas sean las mismas para la gestión de todo el dominio. Salvo que haya casos excepcionales de alguien que tenga claves distintas para cada cosa.

Yo tengo varias páginas alojadas en distintos proveedores y la sistematica es identica. Un login y un password para todo.

La gente que se escandaliza, ¿pero como puede haber sido Arsys, la mas prestigiosa.? Pues señores, por todas partes hay gente asqueada de la forma de actuar de las grandisimas y prestigiosisimas empresas, solo hay que leer estos foros para ver multiples ejemplos.

También es de justicia advertir, que Arsys es la cabeza de turco y que le toco la china, porque me juego lo que sea a que las demas son igualmente vulnerables a ataques parecidos, lo deplorable de este caso, es la forma de ocultar lo ocurrido.

Incluso como se ha preocupado de enviar comunicados oficiales a bandaancha, pues señores, diran lo que quieran, que los usuarios tenemos la ultima palabra aqui.

Y de lo que realmente cabrea aqui, es como han intentado escaquearse de comunicar este incidente, con repercusiones en el usuario final o no, el tiempo lo dirá, pero dejar 1 mes a que el usuario por su cuenta decida cambiar de password me parece una mala medida.

En fin, no pretendo que nadie se vaya a uno u otro hosting, solo advertir a los clientes de Arsys que miren que todo les vaya bien, en el banco, en el correo etc.

Y si ven algo raro, ya tienen una pista de donde les pudo venir.

kirben 13 junio 2007 23:37

⋮

Joder...

Cuando di de baja el dedicado tendría que haber mandado petición para BAJA de mis datos en sus ficheros.

Acabo de acceder al área de Cliente y ahí está el número de mi cuenta bancaria, bien clarito. Pues espero que esto no quede ni mucho menos en el olvido porque ya véis, sucedió en abril y nos hemos enterado gracias a una filtración, sino quizá ni se hubiera conocido jamás. Lo de la investigación de la Guardia Cívil me suena a excusa barata para no dar la cara.

Ahora me quedo bastante preocupado :S

BocaDePez 15 junio 2007 14:09

⋮

Lo mejor que podeis hacer es cambiar proveedor de hosting.

Yo no me fiaria...

BocaDePez 18 junio 2007 03:59

⋮

Yo tb tengo varios hosting con ellos y recibi el correo misterioso, ahora lo entiendo, CABRONAZOS, y yo pensando que algun cliente me habia colado algun fichero infectado en alguna subweb.