Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

El ramsomware Babuk cumple su amenaza publicando los datos personales de millones de clientes de Phone House

Josh
Ramsomware en Phone House

Los responsables del ramsomware Babuk amenazan a la veterana cadena de tiendas de telefonía móvil The Phone House con publicar los datos personales de 3 millones de clientes de sus comercios en España si no pagan una suma económica no revelada. Los datos publicados como prueba contienen información sensible como DNI, cuenta bancaria y número de IMEI.

Actualizamos tras la publicación de la totalidad de los datos por parte de los cibercriminales.

El blog de filtraciones de Babuk alojado en la dark web1 publicaba el pasado domingo una nueva entrada en la que amenaza directamente a la cadena de tiendas española de telefonía móvil The Phone House. Según la publicación, los responsables del software malicioso tienen en su poder 100 GB con el contenido de 10 bases de datos Oracle que contienen los datos personales de 3 millones de clientes y empleados.

Publicación de Babuk sobre The Phone House
Publicación sobre el leak de The Phone House en el blog sobre filtraciones de Babuk en la red TOR

Para demostrar que se trata de una amenaza real el sitio publica 7 capturas de pantalla con extractos parciales del contenido de los archivos exportados, donde se puede comprobar que contienen datos personales como nombre y apellidos, DNI, email, teléfono, dirección postal, fecha de nacimiento, sexo, número de cuenta bancaria e incluso número de IMEI del términal.

En total son 10 ficheros .dmp con nombres como infoventas, ventasonline, seguros o smarthouse.

Extracto datos personales The Phone House
Extracto de datos de ejemplo publicado por los responsables de Babuk

Babuk es un nuevo ramsomware que ha empezado a actuar en 2021 y que selecciona cuidadosamente sus objetivos entre grandes empresas con una facturación mínima de 4 millones de dólares. Según McAfee2 hasta la fecha ha afectado al menos a 5 compañías y se sabe que una de ellas pagó 85.000 $ para recuperar sus datos.

En el foro raidforums.com el usuario biba99 se responsabiliza de la actividad del ramsomware, publica las amenazas y finalmente las cumple en caso de no ver atendida su petición. En el caso de The Phone House España, explica que revelará el contenido completo de la información en su blog, foros y que enviará copias a los competidores de la cadena de tiendas de telefonía.

We have downloaded full dump of your 10 Oracle databases which contains GDPR information(full name, date of birth, email, phone, address, nationality, imei, etc) of more than 3 MILLION clients and employees.

If you do not pay - all this information will be published on our public blog, darknet forums, sended to all your partners and competitors.

Los cibercriminales cumplen su amenaza

Los cibercriminales trataron de presionar a la empresa con la publicación de los primeros datos. El martes 20 de abril de 2021 la publicación en el blog de Babuk en darknet enlaza a un dominio onion donde se puede acceder a dos ficheros que supuestamente contienen parte de los datos filtrados.

Datos publicados

SEGUROSPH.POLICY_RECEIPTS_2.7m.csv.gz contiene el DNI, nombre, apellidos y número de cuenta de 2.672.024 titulares de seguros. El otro fichero, DWH_CUSTOMER_DATA_202104160010_13_million.csv contiene la friolera de 13.015.350 de registros.

Contenido filtración Phone House

Finalmente el jueves 22 de abril se publicó una segunda URL en la darkweb con todo el contenido de las bases de datos repartido en un total de 15 archivos.

Puedes comprobar si tus datos aparecen en la filtración: Have I been pwned? añade los datos de clientes filtrados de Phone House

  1. Accesible en wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd.onion desde la red TOR.
  2. Technical Analysis of Babuk Ransomware
EmuAGR

Entre criptomonedas y TOR se nos está quedando un Internet bonito… Que yo veo bien la privacidad, pero que te puedan pedir dinero de rescate y sea irrastreable…

🗨️ 1
naveganteperdido

antes de las criptomonedas eso ya existia, pero eran abogados que hacian de mediadores para, por ejemplo las, mafias piratas que asaltaban barcos en las costas de somalia

tor tampoco es nada especial, antes en lugar de dejar mensajes en la darkweb hacias llamadas anonimas o enviabas cartas a los interesados y a los periodicos

esta todo inventado, cambia el formato pero el fondo es el mismo

BocaDePez
BocaDePez
2

IMEI de la SIM? Será ICC de la SIM o IMEI del terminal.

🗨️ 1
fjmc39

Si son vendededore de teléfonos supongo que lo que sabrán los datos del terminal. el IMEI

BocaDePez
BocaDePez
1

A extorsionadores ni agua.

Cuán diferente sería el mundo.

🗨️ 1
gonzifp

Desde la barrera es siempre fácil decir eso

vukits
-1

EDIT: creo que la palabra no es 'hashear' sino obfuscar.

¡Bravo! ¡Datos personales en claro! Sin hashear ni nada, con dos coj*nes.

🗨️ 17
EmuAGR
2

Los datos personales no se pueden hashear… Si no cómo los recuperas cuando los necesites.

🗨️ 16
vukits
-1

jaja, tienes razón.

estoy espeso hoy.

bueno, pues habrá que cifrarlos entonces, con algún cifrado ligero

🗨️ 13
rbetancor
2

Las bases de datos, ya soportan cifrado de los ficheros de datos.

Esto simplemente es un "les han entrado hasta la cocina".

🗨️ 12
vukits

digo, cifrado a nivel de aplicación, a nivel DAO

🗨️ 11
rbetancor
1
🗨️ 10
KirO
🗨️ 9
rbetancor
🗨️ 8
Magonos
0
🗨️ 7
vukits
🗨️ 5
pepejil
🗨️ 4
vukits
🗨️ 3
pepejil
🗨️ 2
vukits
🗨️ 1
pepejil
1
vukits
-1

me he tomado unos cafés hoy y lo he pensado mejor.

la palabra que quería usar era 'obfuscar'…

y una manera de obfuscar es hashear, pudiendo revertir al dato original, mediante 'pistas' que se dejan en la BBDD.

🗨️ 1
jackaubrey
2

Eso es spanglish. O dices obfuscate, o dices ofuscar. Pero obfuscar creo que no existe en español.

BocaDePez
BocaDePez

Lo que tiene que hacer es no pagar y que se encarge la policía del asunto y desde luego espero que dominion los dueños en España de phone House no pagen

BocaDePez
BocaDePez
-1

¿Cuenta bancaria?, ¿en las tiendas no se paga en metálico o tarjeta?, ¿alguien me lo explica?

🗨️ 3
lussac
1

Cuando vas a una tienda a por un móvil seguramente también vayas a hacerte un contrato y a buscar la mejor promoción disponible y el móvil más bonito disponible, no solo se dedican a vender móviles, sino contratos de telefonía, de luz…

EmuAGR

En la captura se ven seguros.

🗨️ 1
gonzifp

Exacto tiene pinta de que son clientes que se ha hecho seguros, que cubren rotura, robo del móvil, y para pagar las cuotas han proporcionado la cuenta bancaria

BocaDePez
BocaDePez

@lussac, gracias no caí en un simple contrato de telefonía, estoy espeso.

NeroGC

Tampoco es que puedan hacer mucho con una Cuenta bancaria… salvo ingresarte dinero!!

En el fondo habla de protección de datos y luego de transparencia… pues que publiquen los datos… que van a conseguir con ello??

Que te llamen para intentar venderte cosas??? Ya lo hacen…

Que traten de bloquear el Imei… pues piden comprobante de compra…

PHONEHOUSE que no pague… además que garantía tiene que tras pagar… ellos no siguen teniendo copias… es ilógico…

Con tal de acabar con la "dichosa protección de datos" estoy a favor de la transparencia… y no solo política sino general.

🗨️ 8
lussac
1

Teléfono, nombre, DNI, una cuenta bancaria a tu nombre, un poco de ingeniería social y el peligro de que alguien despistado caiga en algún mail suplantando a un banco, o que sea más fácil conseguir un SIM-swapping…

rbetancor

Tampoco es que puedan hacer mucho con una Cuenta bancaria… salvo ingresarte dinero!!

  • Cargarte recibos sin autorización
  • Hacer una transferencia inversa (ho se como leñes se llama el método)

Con todos los datos que hay en eso ficheros, se puede hacer mucha pupita.

🗨️ 5
LoboAnonimo
1

Tienes razon, pero no tienes razon…

Para las transferencias inversas necesitas que ambas cuentas tengan el mismo titular. Hay que firmar una autorizacion en el banco donde solicites el traspaso de dinero y todo. No es tan facil como "me encuentro el IBAN de alguien y transfiero su pasta a mi cuenta".

Lo de los recibos en realidad tambien da igual. Tu banco no deberia de cargarte recibos que no sean tuyos. Si lo hace tienes 15 meses (!) para devolver recibos fraudulentos. (2 meses que se puede devolver cualquier recibo, y otros 13 meses si son fraudulentos.)

Que si, que puede ser peligroso que esos datos esten en la calle… pero realmente tampoco es TAN peligroso como pensamos… Cada vez hay mas controles para combatir el fraude en las cuentas bancarias.

🗨️ 1
rbetancor

Para las transferencias inversas necesitas que ambas cuentas tengan el mismo titular. Hay que firmar una autorizacion en el banco donde solicites el traspaso de dinero y todo. No es tan facil como "me encuentro el IBAN de alguien y transfiero su pasta a mi cuenta".

No ese el método que yo me refiero, SOFORT, así se llama … y a pesar de que te venden la moto de que es super-seguro … ya ha habido más de un susto con él.

NeroGC

Si vienen recibos al igual que una transferencia inversa (que no deja de ser un recibo cargado) se retrocede!

🗨️ 1
rbetancor

Una transferencia, directa o inversa … una vez hecha … recuperar la pasta es prácticamente imposible.

NeroGC
1

Una putada sería que te den de baja de la línea que hayas contratado ya que a dia de hoy con llamar y grabar es suficiente…

Por eso, sería bueno que todos los operadores… lo hagan como hace Vodafone, te mandan un SMS de baja… y tienes que responder o ir a una web con ese código… y así sería una doble seguridad.

naveganteperdido

cuando a millones de españoles empiecen a llegarles SMS o mails que parecen legitimos porque incluyen datos que solo han dado a empresas en las que confian y con eso se produzcan grandes estafas/robos vuelves a decir que solo pueden ingresarte dinero xD

Aeri
9

Es curioso cuanto menos lo que publica el usuario en raidforums acerca de qué organizaciones están en la lista blanca:

Who is in the whitelist?

We do not audit next categories of organizations:

*Any non-profitable charitable foundation (except the foundations who help LGBT and BLM)

🗨️ 1
naveganteperdido

porque es curioso?, delincuentes con un codigo moral cuanto menos curioso?, no le veo nada de raro xD

Bilbokoa
3

Si se paga, seguirán las extorsiones, porque les saldrá rentable. A esta gente no se le debe pagar NADA. Que publiquen lo que quieran, ya les pillarán luego, pero nunca se debe pagar. Si lo haces, alimentas a la bestia.

No se debe pagar. No hay que negociar con terroristas.

🗨️ 2
MrPlow

Muy fan de la última frase, gente que piense así siempre en mi equipo, 100% en serio.

NetVicious

Opino lo mismo, con un pequeño añadido. Si PhoneHouse paga, les seguirán buscando las cosquillas nuevamente ya que como pagó anteriormente se sobreentiende que volverán a hacerlo.

BocaDePez
BocaDePez
1

Acabo de mirar y creo que han publicado un archivo de un giga y pico de datos o eso pone la web ¿Habrán pagado o será maniobra para presionarlos? Aciago día para la seguridad de muchos españoles.

BocaDePez
BocaDePez

La policía por qué no hace nada por impedir lo que está pasando

Esto se resuelve averiguando quienes son y detenerlos y por supuesto no pagar a estos delincuentes

🗨️ 3
rbetancor
1

La policía, ya se habrá puesto en contacto con ThePhoneHouse para iniciar las investigaciones sobre la filtración.

La policía no puede evitar que se publique esa información en la darkweb, por algo es DARK.

pepejil

La policía por qué no hace nada por impedir lo que está pasando

La Policía no hace milagros. Esto no es Minority Report.

Harán su trabajo pero dentro de sus competencias y sus protocolos.

naveganteperdido

y como predentes que averiguen quienes son?, ansioso me allo esperando a que nos lo expliques

Bilbokoa
1

A los terroristas cibernéticos, ni agua. Que publiquen lo que quieran, que ya se les pillará.

🗨️ 1
el-brujo

La mayoría vive tranquilamente en Rusia y no tienen previsto viajar.

BocaDePez
BocaDePez

Cuando lo cojan publiquen su identidad y sus datos a todos los afectados. Ojo por ojo.

BocaDePez
BocaDePez

Debería ser ilegal pagar cualquier rescate. Nadie paga. Fin del problema.

ninjum

por curiosidad miré que datos diera yo: correo, numero movil y fecha de nacimiento que la voy a compartir total que mas da 01/01/1900 XD

esta vez se supo pero a saber cuantas veces ya consiguieron nuestros datos de otros sitios que no se llegó a saber, si yo ya se que estoy en mil paginas pero estas cosas siempre me tocan oiga!! menos mal que de vez en cuando voi cambiando de correo, contraseña, movil, cuenta del banco etc. por entretener a estos mas que nada

BocaDePez
BocaDePez

Creo que la AEPD tiene mucho que decir, si no estan bien securizados los datos gestionados por The Phone House, y las multas son muy elevaditas, asi que creo que tendran que preparar la chequera

BocaDePez
BocaDePez

Independientemente de como puedan reaccionar los clientes de de_fone_jause les han dado la mejor respuestas que se puede dar, que no le salga absolutamente nada de rentable buscarles las costillas. La única pena que el zasca total seria que ningún medio se haga cargo de la noticia y que nosotros ni tan siquiera nos hubiésemos enterado

Aeri
1

Parece que ya han publicado todos los datos.