Fibra ótica
Sequestro de BGP ativou sistemas de proteção e derrubou rotas da Orange Espanha (Imagem: JJ Ying/Unsplash)

A Orange Espanha, segunda maior operadora do país, ficou sem sinal na última quarta-feira (3) após sofrer um ataque de desvio de rotas de internet. A ação só foi possível porque a senha de um importante sistema era ridiculamente fácil: “ripeadmin”.

O ataque foi um sequestro de BGP, quando pessoas mal-intencionadas redirecionam o tráfego de internet, por meio de anúncios falsos de prefixos de IP. Isso só é possível com o acesso a um roteador que faz a ponte entre dois sistemas autônomos, como os de provedores e operadoras.

O ataque aconteceu quando uma pessoa identificada apenas como “Snow” conseguiu acesso à conta da Orange Espanha no RIPE NCC, entidade que administra os registros de internet na Europa, no Oriente Médio e em partes da Ásia Central. A título de curiosidade, quem faz isso aqui na América Latina e no Caribe é o LACNIC.

Com acesso ao sistema, Snow “bagunçou” as rotas de internet ao emitir novas ROAs, autorizações para designar sistemas autônomos ou IPs como capazes de entregar tráfego a várias partes do mundo. Isso foi corrigido logo, mas o pior ainda estava por vir.

Snow publicou quatro ROAs com origens sem relação com a Orange Espanha. Isso levou uma proteção do BGP, conhecida como RPKI, a alertar provedores de backbone para rejeitar os novos anúncios. Porém, o que aconteceu foi que a RPKI funcionou como um ataque de negação de serviço (DDoS) à rede da Orange Espanha, causando instabilidade para os usuários e levando a uma queda de 50% do tráfego da operadora.

A senha da conta RIPE era… “ripeadmin”

Não foi preciso muito esforço para invadir a conta, já que a senha era “ripeadmin”. Nas palavras da empresa de cibersegurança Hudson Rock, a combinação era “ridiculamente fácil”.

Cadeado com senha (imagem ilustrativa: TheDigitalWay/Flickr)
Senha da Orange Espanha no sistema da RIPE NCC era “ripeadmin” (Imagem ilustrativa: TheDigitalWay/Flickr)

A Hudson Rock diz que a senha foi descoberta provavelmente com ajuda de um malware. O e-mail usado no sistema do RIPE NCC e a senha foram encontradas em uma lista de contas vazadas por programas que roubam informações.

No X (antigo Twitter), Snow afirmou ter encontrado as credenciais por acaso, enquanto procurava por dados de bots em vazamentos públicos. “Eu vi a conta RIPE com a senha ‘ripeadmin’, sem autenticação em dois fatores, sem precisar de nenhuma engenharia social”, disse a hacker.

Snow ainda fez piada no X. Em um post, ela mencionou a conta da Orange Espanha e disse “Eu consertei a segurança da sua conta de administrador da RIPE. Mande uma mensagem para eu passar as novas credenciais”.

A RIPE NCC abriu uma investigação sobre o acidente. O órgão restaurou a conta da Orange Espanha e aconselha que seus membros usem a autenticação em dois fatores.

Com informações: Ars Technica, Bleeping Computer

Senha ridiculamente fácil faz operadora espanhola ficar sem serviço