[GTER] Senhas ADSL da Brasil Telecom são roubadas e expostas na Web

Fri Feb 28 21:58:00 -03 2003

http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1046479336,43235,/ 

Senhas ADSL da Brasil Telecom são roubadas e expostas na Web 
28/2/2003 - 21:42 Giordani Rodrigues 

Milhares de logins e senhas de usuários de conexão banda larga da Brasil Telecom foram roubados. Os dados de cerca de 1,5 mil destes usuários foram publicados numa página na Web. Uma mulher de 23 anos que usa os apelidos de Mel, Melzinha ou Melpôneme assume a responsabilidade pelo ataque, supostamente ocorrido na terça-feira, dia 25.

De acordo com as informações que publicou em seu blog, ela conseguiu capturar 6.753 contas de usuários da Brasil Telecom. Destas, cerca de 1,5 mil contas de usuários exclusivamente do provedor BrTurbo, que também pertence à Brasil Telecom, foram expostas e até hoje estão disponíveis na Internet. 

A hacker também enviou um spam para estes usuários, orientando-os a localizar suas senhas na página indicada e a ler um texto que publicou em seu blog, com o título "Brasiltelecom deixa clientes vulneraveis". As informaçãoes divulgadas dão acesso não só à conexão dos usuários, como também às contas de e-mail, geralmente configuradas com os mesmos dados, e a outros serviços. Isto representa um risco real e grave à privacidade dos clientes atingidos.

A Brasil Telecom confirma o ataque e os números divulgados pela hacker, e diz ter tomado "ações corretivas" para "sanar o problema". Segundo a empresa, um determinado modelo de modem da Alcatel "foi devassado por um hacker que conseguiu uma senha de instalação do aparelho e replicou-a para vários usuários do serviço de banda larga da Brasil Telecom". 

O modem atingido teria sido o modelo Speed Touch PRO, da Alcatel, mas isso não quer dizer que outros modelos, até mesmo de outros fabricantes, não possam estar vulneráveis. A brecha de segurança que permitiu o ataque, na verdade, foi operacional, e não de software ou hardware. O modem atingido é do tipo roteador, capaz de fazer ele próprio a conexão com a operadora assim que é ligado. O aparelho já vem configurado de fábrica com uma senha padrão, que não foi modificada pela Brasil Telecom. 

Como aconteceu o ataque

Esta senha, que por sinal não é nada difícil de adivinhar, espalhou-se de boca em boca, inicialmente por intermédio dos próprios técnicos de instalação do serviço ADSL contratados pela Brasil Telecom, segundo afirma Melpôneme, em entrevista por e-mail a InfoGuerra. "Esta vulnerabilidade já era pública e grupos de warez (que produzem programas piratas) também possuem inúmeras senhas, utilizando recursos do usuário para, por exemplo, postar DIVX (vídeo digital, no caso, pirata), pornografia, música e programas em FTP destinados aos usuários da BrTurbo", revela.

O que Melpôneme fez foi escrever um script em linguagem Perl, capaz de acessar os modems da Alcatel que ela sabia que estavam configurados com a senha padrão, e capturar a senha de conexão dos usuários. Segundo a hacker, outras ações poderiam ser tomadas por um atacante que acessasse a senha "root" (raiz) do modem/roteador, como por exemplo, substituir os endereços DNS (nomes de domínios) da máquina atingida, por DNS invadidos, num ataque chamado de "spoofing". Sob certas condições, isto poderia ter conseqüências graves, afirma, como o acesso a senhas bancárias e uso da máquina do usuário para atacar remotamente outros computadores. 

A própria hacker orienta os usuários a alterarem a senha do roteador, indicando uma página com os procedimentos para alteração manual ou por meio de um pequeno programa, para o Alcatel Speed Touch PRO. Ela também avisa que a senha padrão fica guardada na memória do modem/roteador, portanto, caso o aparelho seja reconfigurado ao estado original (reset), pelo usuário ou por um atacante, a senha "volta".

De acordo com a análise de um especialista em segurança consultado por InfoGuerra, as portas que normalmente dariam acesso aos roteadores são a 80 (padrão para o protocolo HTTP) e a 23 (usada para conexões Telnet). Estas portas só permitem o acesso interno, isto é, do próprio usuário do equipamento, mas não o acesso externo, pois estão bloqueadas nos roteadores das operadoras (chamados "de borda"). Porém, no caso dos usuários da Brasil Telecom, a porta 21, usada para transferência de arquivos (FTP), estava aberta e foi por ela que a hacker penetrou, o que pode ser visto em uma das linhas de programação do seu script. 

O especialista afirma ainda que as portas 23 e 80 só estão bloqueadas nos planos domésticos e não empresariais, portanto as empresas que não mudarem a senha padrão ainda correm risco. Ele disse que o acesso pela porta 21, como usado na Brasil Telecom, é uma exceção, mas avisa que outros modelos de modem também estão vulneráveis ao mesmo tipo de ataque, incluindo os usados por outras operadoras, pois em geral a senha padrão não é modificada.

"Uma mocinha como as outras"

Melpôneme, por sua vez, confirma esta informação e diz que as senha padrões de fábrica são usadas não só para serviços de ADSL, como também para locação de roteadores (links) e outros serviços. "A Telefônica também usa senha padrão em seus roteadores e grande parte dos equipamentos Cisco alugados pelas operadoras estão com senha padrão", garante. 

Apesar disso, ela diz que acessou apenas os modems da Brasil Telecom, "como um sinal de protesto". A hacker afirma que teve acesso a todos os roteadores corporativos e residenciais da empresa, em toda a gama de localidades em que a operadora atua (a empresa presta serviços em todos os estados das regiões Sul e Centro-Oeste, incluindo o Distrito Federal, e nos estados do Acre, Rondônia e Tocantins. As 1,5 mil contas da BrTurbo foram publicadas como sinal de alerta, segundo ela, mas as outras contas que estão em seu poder pertencem a vários outros provedores, como Uol, Terra, Vento, e também a importantes domínios da Universidade de Brasília, do Senado Federal, Tribunal Superior de Justiça, Caixa Econômica Federal e outras repartições governamentais, afirma. Melpôneme garante que o restante das senhas não será divulgado ou repassado a terceiros.

A hacker disse que se considera "uma mocinha como as outras", mas acha que se destaca por "ter um raciocínio mais trabalhado e uma grande vontade de sempre aprender". Ela afirma que é goiana, tem 23 anos e atualmente mora no Canadá, onde está se "especializando na área de segurança". Adotou o apelido de Melpôneme em referência à musa da tragédia e ao seu próprio apelido natural (Mel). 

Uma das inteções da hacker, segundo suas próprias palavras, é mostrar que o mercado goiano está vulnerável, atacando-o. Deixa isso claro não só anunciando que o alvo de seu próximo ataque será o portal Goiasnet.com.br, que faz parte da Globo.com, como escrevendo em seu blog coisas como: "80% das empresas goianas administradas pelos seus fortes empresários peões e sua capacitada equipe de técnicos em manutenção de micros formados pelo Senac, também conhecidos como administradores de rede, estão vulneráveis".

Melpôneme disse que testou as medidas tomadas pela Brasil Telecom e constatou que a operadora fechou a porta que dava acesso ao modem dos usuários. Ela alerta, porém, que boa parte destes usuários não modificou as senhas depois do incidente, mesmo com seu alerta e o da própria Brasil Telecom. Portanto, as caixas de correio e as conexões ainda podem ser usadas por qualquer um que tenha acesso à lista divulgada. Poucos minutos antes da publicação desta reportagem, InfoGuerra testou várias senhas e conseguiu conexão com todas elas, indicando que a hacker tem razão no que afirma. 

Perguntada se não temia que a Brasil Telecom acionasse a polícia e conseguisse prendê-la pelo que fez, respondeu: "Não vejo nada de errado nas minhas atitudes, e não me enquadro em alguma lei brasileira. Se formos analisar quem deveria ser preso por expor seus clientes seria a própria Brasil Telecom. Afinal, esta senha se espalhou inicialmente através dos técnicos de ADSL da empresa. Resumindo, a Brasil Telecom deu a inúmeros técnicos a chave da informação dos seus clientes". 
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://eng.registro.br/pipermail/gter/attachments/20030228/cc6241fa/attachment.html>