Respuesta de Checkout.com a un ataque de hackeo: rechazo al pago de rescate y donación a la investigación en seguridad
(checkout.com)- La plataforma de pagos Checkout.com fue objeto de un intento de extorsión por parte de un grupo de ciberdelincuentes, pero se negó a pagar el rescate y en su lugar donó ese monto a la investigación en ciberseguridad
- Los atacantes obtuvieron acceso no autorizado a un sistema heredado de almacenamiento de archivos en la nube de un tercero, usado antes de 2020, y consiguieron parte de los datos
- Checkout.com aclaró que la plataforma de procesamiento de pagos, los fondos de los comercios y la información de tarjetas no se vieron afectados en absoluto
- La empresa estima que menos del 25% del total de sus comercios podría haberse visto afectado, y que está colaborando con las fuerzas del orden y las autoridades regulatorias
- Se realizaron donaciones a Carnegie Mellon University y al University of Oxford Cyber Security Center, reafirmando que la transparencia y la confianza son valores centrales de la industria
Resumen del incidente
- Checkout.com recibió la semana pasada un contacto de un grupo criminal llamado “ShinyHunters”, que afirmó haber obtenido datos relacionados con Checkout.com y exigió un rescate
- La investigación confirmó que los atacantes obtuvieron acceso no autorizado a un sistema de almacenamiento de archivos en la nube de un tercero usado antes de 2020
- Ese sistema se usaba para almacenar documentos operativos internos y materiales de incorporación de comercios
- Checkout.com reconoció como un error que ese sistema no fue retirado correctamente
- La empresa indicó que este incidente no afectó la plataforma de procesamiento de pagos, y que los atacantes no pudieron acceder a fondos de los comercios ni a números de tarjeta
Impacto y medidas de respuesta
- Checkout.com estima que menos del 25% de sus comercios actuales podrían verse afectados
- La empresa está identificando a los comercios afectados y contactándolos individualmente, además de cooperar con las fuerzas del orden y las autoridades regulatorias correspondientes
- Checkout.com destacó la transparencia y la responsabilidad, y expresó su voluntad de mantener la confianza de socios y clientes
Rechazo al rescate y decisión de donar
- Checkout.com declaró que no pagará rescate a criminales
- En cambio, donará el monto exigido en el ataque a Carnegie Mellon University y al University of Oxford Cyber Security Center como apoyo a la investigación sobre ciberdelito
- La empresa afirmó que convertirá este incidente en una oportunidad para impulsar la inversión en seguridad en toda la industria
Postura y compromiso de la empresa
- Checkout.com señaló que “la seguridad, la transparencia y la confianza” son la base de la industria, y afirmó que reconocerá su error y protegerá a los comercios
- La empresa enfatizó que invertirá en la lucha contra las actividades criminales que amenazan la economía digital
- Los comercios pueden solicitar apoyo a través de sus canales habituales de contacto con Checkout
Conclusión
- Con este incidente, Checkout.com mostró una postura firme frente a la extorsión cibernética y,
mediante la donación a la investigación en seguridad, busca fortalecer la capacidad de defensa de toda la industria - La empresa está enfocada en recuperar la confianza de los comercios mediante una divulgación transparente y medidas responsables
1 comentarios
Comentarios de Hacker News
Hace algunos años arrestaron a miembros de ShinyHunters por el FBI
Yo estuve en la misma prisión que uno de ellos, Sebastian Raoult, y hablé bastante con él
La persistencia que mostraban para llevar a cabo ataques de phishing a gran escala era sorprendente. Así obtenían la mayoría de los accesos y, además, buscaban endpoints de API en GitHub para encontrar claves filtradas
No le gustaban mucho los escáneres automáticos de GitHub
Artículo relacionado: comunicado del Departamento de Justicia de EE. UU.
Por eso no sorprende que hayan conseguido acceso mediante ingeniería social
Lo interesante es que ellos mismos también podrían ser víctimas de ingeniería social. Quienes atraen a hackers jóvenes creando exploits para juegos en línea terminan construyendo una estructura para ganar dinero de forma más segura
Me pregunto si usó hosting ilegal o si lo rastrearon a través del proveedor de pagos
También me gustaría saber si el sitio solo ofrecía enlaces, como Sportsurge, o si alojaba los streams directamente
De la disculpa de la empresa
Más importante que una disculpa real es el análisis de causa raíz y las medidas para evitar que vuelva a ocurrir.
Para recuperar la confianza, hay que aclarar cuántos sistemas antiguos más manejaban datos de clientes y quién bloqueó el presupuesto
Una disculpa verdadera debe demostrarse no con palabras, sino con compensación
Si yo fuera cliente, estaría enojado, pero creo que esta respuesta fue, dentro de lo posible, de la mejor manera
Deben acompañarlo responsabilidad legal, reembolsos y regulación más estricta
Ojalá hubieran publicado también los resultados de la auditoría y el postmortem por transparencia
La donación se siente más como un gesto para la galería que como una mejora real de seguridad
Ya se conocen las prácticas básicas de seguridad; lo más importante es cumplirlas. Ese dinero debió invertirse en contratar personal de seguridad o reforzar los sistemas
(Como referencia: el hackeo ocurrió en un sistema legacy que no había sido retirado)
No es solo postureo moral, también se interpreta como una señal de “no cedemos ante exigencias de rescate”
Si hubieran pagado el rescate, probablemente habrían incentivado más ataques
Incluso si se pierde dinero, es sensato elegir usarlo en una dirección valiosa
Tiene el efecto secundario de financiar criminales, pero no pagar también puede terminar perjudicando más a los clientes
La frase “el atacante accedió a través de un sistema de almacenamiento en la nube de un tercero” suena un poco a evasión de responsabilidad
Incluso cuando ocurre algo así, se burlan una semana y se acabó. Al final, casi no hay cambios de fondo
Creo que esta respuesta pública y la donación fueron una decisión valiente
La seguridad perfecta es imposible y, como todavía no sale el postmortem, es difícil criticar demasiado pronto
Valoro mucho que no lo hayan ocultado y el enfoque de interés público mediante la donación académica
La frase “el sistema usado para documentos operativos internos y materiales de onboarding de comercios” sugiere que probablemente se trataba de documentos recopilados durante el proceso de KYC
Es decir, podrían incluir documentos corporativos o escaneos de pasaportes e identificaciones
Este tipo de datos implica alto riesgo de robo de identidad y puede seguir siendo útil durante años
Desde el GDPR, estos datos sensibles se guardan en zonas de seguridad separadas
Lo más probable es que solo fuera un repositorio de PDF o formularios usado por el equipo de onboarding
Aunque “menos del 25% de los clientes” hayan sido afectados, si yo estuviera dentro de ese grupo, me costaría quedar satisfecho con un gesto sin compensación
“OXCIS” significa Oxford Centre for Islamic Studies, así que no parece ser eso
El destinatario real de la donación parece ser el centro de investigación en Cyber Security de la Universidad de Oxford
Por mi experiencia trabajando en fintech, lo que se filtró esta vez parecen ser documentos KYB de comercios
Son materiales para evaluar el riesgo del negocio y no son tan sensibles como información de pago o PAN
Claro que el hackeo es algo malo, pero en algunos casos estos datos incluso son información pública
Valoro mucho que la empresa lo haya divulgado con transparencia
Por lo tanto, también existe riesgo de robo de identidad dirigido a personas de alto patrimonio