No final de março, o aplicativo de bate-papo por vídeo Houseparty, de propriedade da Epic Games, respondeu a relatórios infundados de que as contas de usuários haviam sido invadidas – oferecendo uma recompensa de US $ 1 milhão a qualquer pessoa capaz de provar que os rumores faziam parte de uma campanha coordenada para difundir a empresa .
O desenvolvedor disse que não havia evidências de qualquer ligação entre a Houseparty e alegava comprometimento de contas em outros serviços como Spotify, Netflix e PayPal. E insistia que as contas da Houseparty eram seguras.
Embora algumas postagens no Twitter que apontam para a Houseparty pareçam duvidosas, evidências de qualquer campanha de difamação ainda estão por vir e parece que a recompensa de US $ 1 milhão não foi concedida. O Register pediu duas vezes à Houseparty para confirmar isso. Embora tenhamos recebido uma declaração, nenhuma resposta foi fornecida para essa pergunta em particular.
Também não foi paga nenhuma recompensa ao pesquisador de segurança Zach Edwards depois que ele descobriu que a infraestrutura de domínio da Houseparty havia sido invadida e abusada por distribuir conteúdo malicioso.
Em 31 de março, Edwards, co-fundador do negócio de análise da web Victory Medium, criticou o fabricante de aplicativos de bate-papo por vídeo via Twitter pela falta de cabeçalhos da Política de Segurança de Conteúdo em uma página de redefinição de senha. Ele suspeitava que houvesse mais problemas de segurança e, uma semana depois, enviou um relatório de bug ao programa de resposta de segurança HackerOne da Epic Games, detalhando mais de uma dúzia de subdomínios do thehousepartyapp.com que estavam fornecendo PDFs maliciosos.
Eles ficaram assim:
http://nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com/lib8/schafzucht.pdf?web=nyc3-prod-worker-138-197-97-151.ms.thehousepartyapp.com
Em uma série de DMs do Twitter com o The Register, Edwards explicou que o grupo de hackers criminosos por trás dos arquivos maliciosos parece estar operando há quase duas décadas. Ele disse que eles sequestram subdomínios e redirecionam usuários para sites que prometem streaming de vídeo, e-books e downloads gratuitos.
“Eles sequestram subdomínios com ‘poisonPDFs’, repletos de conteúdo rico em SEO e outras explorações, e levam os usuários a redirecionamentos maliciosos e sites fraudulentos”, disse ele. “O domínio de autenticação da Houseparty foi atingido pelo grupo”.
Edwards, que se refere ao grupo de hackers como “Tripulação Pickaflick.com”, com base em um domínio que o grupo parece ter usado para fraudar cartões de crédito no passado, planeja publicar mais detalhes sobre a operação na quarta-feira via Medium.
Ele disse que enviou suas descobertas ao programa de resposta de segurança HackerOne da Epic Games, com base no prêmio de verificação de esfregaço de US $ 1 milhão da Houseparty, sem esperar que ele fosse realmente pago. Em vez disso, ele disse, espera conseguir que a empresa se envolva com a comunidade de segurança para ajudar outras organizações atingidas por esse grupo.
“Acredito que os fatos são claros que uma rede organizada de hackers e fraudes com cartão de crédito usou subdomínios da Epic Games para lançar ataques a usuários”, afirma ele em seu post. “E esse grupo continua a orquestrar esses ataques pela Internet, e o faz há anos”.
Edwards identificou 8.440 PDFs sabotados associados ao grupo de malware em vários outros sites.
A publicação de Edwards inclui mensagens de e-mail da equipe de segurança da Epic Games em resposta ao seu relatório de bug. Os e-mails negam a existência de um comprometimento direcionado dos sistemas da empresa por uma parte mal-intencionada.
“Confirmamos que não é esse o caso e que os subdomínios em questão estavam apontando para registros DNS abandonados, que por sua vez foram automaticamente herdados por terceiros que hospedavam eBooks”, diz a mensagem.
Não houve concessões porque a porta, por assim dizer, foi deixada aberta por registros de domínio antigos que ninguém se preocupara em remover, registros que apontavam para um endereço IP que não era mais controlado pela Houseparty.
Como o email da Epic Games explica: “Um terceiro herdou o endereço IP que a Houseparty possuía anteriormente, o registro DNS associado a esse IP nunca foi removido, e é por isso que esse subdomínio ainda é direcionado para o IP em questão”.
O Register entende que a Houseparty vê o problema como um problema de configuração incorreta do site e tomou medidas para corrigir sua infraestrutura de domínio.
Solicitado a comentar as alegações de Edwards, um porta-voz da Houseparty disse: “O mundo confia na Houseparty para conectá-los quando mais precisam e não vamos decepcioná-los. Recebemos a correspondência do indivíduo tentando reivindicar a recompensa e a revimos cuidadosamente para confirmar O indivíduo não forneceu uma prova de conceito para seu bug teórico, exigido por todos os programas de recompensas de bugs. O aplicativo Houseparty é seguro para uso em qualquer dispositivo móvel e protegido por criptografia confiável do setor. dados e sua experiência são protegidos.” ®
Fonte: (https://www.theregister.co.uk/)