AlphaBay Market, posiblemente el mayor mercado activo hasta el momento de la red oscura, ha pagado a un atacante después de que explotara con éxito vulnerabilidades en el sistema de correo interno del sitio web y secuestrara más de 200,000 mensajes privados sin cifrar de varios usuarios.

El pirata informático, utilizando el seudónimo Cipher0007, reveló dos "errores de software de alto riesgo" en Reddit que le permitieron acceder a mensajes privados de la tienda pertenecientes a los compradores y vendedores en el sitio web oscuro, anunciaron administradores de AlphaBay anunciaron.

Los mensajes no estaban cifrados por defecto, lo que le dio al atacante la capacidad de ver todos los mensajes entre vendedores y compradores que venden y compran de todo, desde drogas ilícitas a exploits, malware y datos robados.

Más de 218,000 mensajes privados de distribuidores anónimos expuestos

Para probar que había comprometido exitosamente el sitio web de AlphaBay, el atacante publicó cinco capturas de pantalla de conversaciones privadas de usuarios aleatorios, mostrando que los usuarios de AlphaBay intercambiaron abiertamente sus nombres, direcciones personales y números de seguimiento sin cifrado.

"Hemos llegado a ser conscientes del error que permitía a una persona ajena a ver los mensajes privados del mercado", se lee en un comunicado de los administradores AlphaBay en Pastebin, y" creemos que la comunidad tiene derecho a ser consciente de qué información fue obtenida."

Una primera vulnerabilidad permitió al atacante obtener más de 218,000 mensajes personales enviados entre sus usuarios en los últimos 30 días, mientras que el segundo error le permitió obtener una lista de todos los nombres de usuario y sus respectivos ID de usuario.

Sin embargo, los administradores de AlphaBay aseguraron que aquellos usuarios que no recibieron ningún mensaje en sus buzones de correo en los últimos 30 días no se vieron afectados. También afirmaron que los errores de software solo fueron explotados por un solo atacante.

AlphaBay arregla los errores y paga al ciberatacante

Los administradores también aseguraron a sus usuarios que los mensajes del foro de AlphaBay, los datos de pedidos y las direcciones de Bitcoin de los usuarios están seguros, y el problema se solucionó apenas cuatro horas después de que el usuario de Reddit se hiciera público.

"El atacante fue pagado por sus hallazgos, y accedió a decirnos los métodos utilizados para extraer esa información", dijeron los administradores de AlphaBay. "Nuestros desarrolladores inmediatamente cerraron la falla para proteger la seguridad de nuestros usuarios".

Mientras tanto, aconsejaron a los usuarios de AlphaBay que hicieran uso de una clave PGP y cifraran siempre sus datos confidenciales, incluyendo direcciones de entrega, identificadores de cartera Bitcoin, números de seguimiento y otros.

Dado que AlphaBay es un mercado de la red oscura, que solo es accesible a través del buscador Tor, el error podría haber sido explotado por la aplicación de la ley para desmascarar a las identidades reales de los usuarios que se ocupan de drogas y otras actividades ilegales.

Sin embargo, los miembros de AlphaBay que utilizan la clave PGP y cifran los detalles de su cuenta estarían en un lado más seguro.

Esta no es la primera vez que un atacante descubre un defecto en el sitio web de AlphaBay. AlphaBay se enfrentó a una vulnerabilidad similar en abril del año pasado, cuando mensajes privados de sus usuarios fueron expuestos debido a una falla en su recién lanzado API, permitiendo a un atacante obtener 13,500 mensajes privados.