Brecha de Seguridad

Se filtran 42 millones de números teléfono de usuarios iraníes de Telegram

Daniel

4 min read
Se filtran 42 millones de números teléfono de usuarios iraníes de Telegram

Un cluster de Elasticsearch (Motor de búsqueda/Base de datos NoSQL) mal configurado y expuesto en la red sin necesidad de autenticación para acceder dejo expuestos 42 millones de registros de IDs de usuarios de Telegram iraníes, su nombre y su número de teléfono asociado entre otros datos.

Esta brecha la descubrió el investigador de seguridad Bob Diachenko en colaboración con la firma de ciberseguridad Comparitech. Toda esta información fue eliminada después de que Bob Diachenko reportó el incidente al proveedor de hosting el 25 de marzo del 2020. Es importante destacar que aunque fuera eliminado la base de datos expuesta mucha gente por la red tendrá copias de la misma.

Estos datos fueron previamente recolectados por clientes de terceros de Telegram, un cliente de terceros es un cliente NO OFICIAL de Telegram creado por un usuarios como nosotros mismos. Muchos de los clientes de terceros usan el código de los clientes Telegram disponible en Github para crear un cliente custom añadiendole funciones o caracteristicas a la aplicación.

Ciertos desarrolladores añaden a sus clientes custom características que son atractivas para los usuarios a la vez que añaden funciones espías para robar información de los usuarios en sus aplicaciones sin que ellos puedan ser conscientes de ello. Un ejemplo de ello lo puedes ver en los dos siguientes post:

¿Cómo Hotgram y Talagram espían a los usuarios de Telegram?
Ayer os hablábamos sobre los avisos que Telegram estaba mandando a los usuariosde estas dos aplicaciones usando debido al espionaje y control que realizan lasmismas sobre los usuarios. Hoy os traemos la información mucho más ampliadadonde hablaremos sobre el funcionamiento de estas dos aplicacion…
TecnonucleousDaniel Perez Fernandez
BifToGram: Cliente No Oficial de Telegram no quiere liberar su código fuente
Telegram es una aplicación de mensajería nacida en 2013 y que desde hace muchotiempo permite a desarrolladores externos poder crear sus propias versiones delcliente añadiendo mejoras o características no existentes en el cliente oficial. Esta libertad que ofrece Telegram también puede ser un prob…
TecnonucleousDaniel Perez Fernandez

Cronología de la exposición de los datos

DB Elasticsearch con datos de usuarios Telegram iraníes

Los datos de los usuarios de Telegram iraníes fueron expuestos en un servidor de Elasticsearch mal configurado durante aproximadamente 11 días. Esta es la cronología de los sucesos:

  • 15 de marzo del 2020: la base de datos fue indexada por el motor de búsqueda BinaryEdge
  • 21 de marzo del 2020: Diachenko descubrió los datos expuestos y comenzó a investigar
  • 24 de marzo del 2020: Diachenko envió un informe de abuso al proveedor de alojamiento
  • 25 de marzo del 2020: se eliminó el clúster Elasticsearch.

¿Qué datos fueron expuestos?

Datos expuestos de usuarios de Telegram de Irán

  • ID de cuenta de usuario de Telegram (es un dato publico)
  • Nombres de usuario
  • Números de teléfono
  • Hashes y claves secretas (estas son las claves que pide Telegram cuando tenemos la autentificación en dos pasos de Telegram activada para iniciar sesión en el cliente. Estas claves se capturan cuando el usuario hace login desde una app custom de terceros espía)

Posibles futuros ataques de SIM Swapping

La información que contenía la base de datos expuesta presenta un riesgo claro para los usuarios, gracias a tener el número de persona y su clave de la autentificación en dos pasos pueden robarle sus cuentas de Telegram.

El ataque de SIM Swapping consiste en que un atacante convence a un operador de telefonía para que mueva nuestro número de teléfono a una nueva tarjeta SIM, al tener un duplicado de nuestra SIM puede recibir y enviar SMS/llamadas telefónicas lo que le daría acceso completo a nuestra cuenta de Telegram incluyendo todos los chats que tengamos.

Situación de Telegram en Irán

Telegram es la aplicación de mensajería más popular en Irán con más de 50 millones de usuarios (dato aproximadamente) en todo el país. Entre 2015 y 2017 las autoridades iraníes ordenaron a las telecomunicaciones bloquear temporalmente el acceso a Telegram en varias ocasiones.

A principios del 2018 Telegram fue bloqueado permanentemente después de protestas antigubernamentales y disturbios civiles en todo el país. Al tener Telegram bloqueado en el país muchos usuarios para poder seguir usando esta aplicación recurren a aplicaciones VPN para saltarse las restricciones, pero una gran parte usa cliente de terceros que incluyen su red de proxys, MTProto Proxys, ... para saltarse las restricciones pero a la vez algunos de estos clientes espían a los usuarios recolectando su información para el gobierno local.

Conclusiones

Para evitar que nuestros datos se los lleven las apps de terceros espías lo primero de todo es usar los clientes de Telegram oficiales y en el caso de querer usar clientes de terceros revisar el código fuente de la aplicación. En el caso de que el código fuente de la aplicación no este publicado directamente ni la instaléis. En caso de dudas os recomiendo leer nuestra guía de ¿Cómo NO elegir un cliente de Telegram? os ayudará a tomar la mejor decisión.

Fuente: Comparitech