A Orange Espanha, segunda maior operadora do país, sofreu uma queda de serviço na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. O ataque foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.
O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.
O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central.
Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.
Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.
A senha da conta RIPE era… “ripeadmin”
Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.
A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.
No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.
Recomendações da RIPE NCC
A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.
A Hudson Rock também recomenda que as empresas usem a autenticação em dois fatores, além de outras medidas de segurança, como a criptografia de dados.
