ACTUALIZADO: Esto es lo que realmente sucedió con el hack de LimeVPN

seguridad10

ACTUALIZACIÓN 2 de julio de 2021: Numerosos informes falsos están circulando en línea sobre el pirateo de LimeVPN, incluido el tamaño total del cliente, los datos financieros y el sitio en vivo que está siendo «pirateado». Hemos estado en contacto tanto con el pirata informático como con LimeVPN desde que el pirateo se anunció por primera vez en un foro de piratas informáticos y solo informamos lo que pudimos verificar. A continuación se muestran las correcciones a algunos de los informes falsos que circulan en línea ahora, con declaraciones exclusivas obtenidas de LimeVPN hoy.

LimeVPN también ha publicado una actualización sobre la situación aquí .

1. ¿Qué fue pirateado exactamente?

Cuando analizamos por primera vez todos los datos disponibles el 29 de junio, pudimos identificar nombres de usuario y contraseñas en texto sin cifrar, así como datos de transacciones (pero no tarjetas de crédito o información de facturación confidencial). El pirata informático afirmó haber pirateado solo la base de datos de respaldo de LimeVPN (no el sitio web en vivo o los nodos del servidor VPN en vivo).

Aquí hay una aclaración adicional que LimeVPN nos envió hoy:

Teníamos un servidor de respaldo antiguo que tenía la intención de trasladar nuestro sistema de facturación a un nuevo servidor que no estaba activo en los últimos meses. La filtración parece haber ocurrido en ese servidor.

La única información que se almacena en whmcs (nuestro sistema de facturación) es el nombre / correo electrónico / dirección de los clientes (si proporcionan uno). No almacenamos ni registramos información de pago. Tampoco se almacenan tarjetas de crédito. 

En segundo lugar, esto está restringido solo al sistema de facturación y nuestros nodos VPN no se ven afectados. Nuestro nodo VPN infra está aislado de nuestra aplicación web infra. 

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

2. 800 usuarios de LimeVPN, no más de 69,400

En nuestro informe original, notamos que el pirata informático afirmó tener credenciales para alrededor de 10,000 cuentas de LimeVPN. En su publicación en el foro de hackers, afirmó 10,000, y en mensajes cifrados para nosotros, afirmó que el número estaba más cerca de 12,000.

Hoy en día, circulan numerosos informes sobre más de 69,400 clientes de LimeVPN, con esta captura de pantalla como «evidencia». También obtuvimos esta información del hacker hace unos días, pero pudimos ver que:

  • En realidad, el número es 694.071, no 69.400.
  • Este es solo un registro de actividad de las interacciones del cliente, que es común en los sistemas de gestión de soporte al cliente. No es la base de usuarios total de LimeVPN.

LimeVPN no tiene 69,400 usuarios y el hacker nunca afirmó tener datos sobre 69,400 usuarios. Para aclarar aún más, LimeVPN nos proporcionó esta declaración:

El número total de cuentas en vivo en estos nodos es inferior a  800 . Y la mayoría de los demás datos están relacionados con nuestros pedidos anteriores (y no son necesariamente clientes). Entonces, la copia de seguridad, incluso si hubiera afectado a alguno de los usuarios actuales, es menos de 800.

Hemos restablecido todas las credenciales de acceso, hemos cerrado los servidores de protección de cables y hemos separado nuestra infraestructura de facturación de la información de marketing.

La captura de pantalla es del registro de actividad. (No es el no de usuarios).

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

3. El sitio web de LimeVPN no fue pirateado

También nos despertamos hoy para ver numerosos informes de que el sitio web de LimeVPN estaba caído y había sido «pirateado» por el mismo actor de amenazas que obtuvo acceso a la base de datos anterior. Pero ni el hacker ni LimeVPN afirmaron haber pirateado el sitio web.

Nos comunicamos con LimeVPN para hacer comentarios y dijeron lo siguiente:

Al igual que con nuestro sitio web, ha tenido problemas frecuentes de exceso de ionodos debido al alto tráfico durante los últimos 30 días. Esto no está relacionado con este evento. Y finalmente no hay impacto en la seguridad de la VPN, la infraestructura está separada y no tiene ningún impacto. No hay forma de que alguien pueda asignar un correo electrónico de usuario a una sesión de servidor en vivo, ya que estos no están en ninguna de estas infra. Tampoco registramos ninguna sesión web.  

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

4. Aproximadamente 25 claves WireGuard para pruebas beta (no todas las claves privadas)

En nuestras interacciones con el pirata informático, también afirmó tener claves privadas para todos los usuarios de LimeVPN. Sin embargo, según LimeVPN, esto también es incorrecto y estas fueron solo alrededor de 25 claves para probar WireGuard con algunos usuarios:

Las claves a las que se hace referencia son claves de protección de cables que estaban en prueba beta. Entonces hay menos de 25 usuarios que están usando esto y esto ya fue suspendido tan pronto como se nos informó la información. Esta era una nueva función que teníamos intención de lanzar en breve. 

Hemos restablecido todas las credenciales de acceso, hemos cerrado los servidores de protección de cables y hemos separado nuestra infraestructura de facturación de la información de marketing.

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

Tenga en cuenta que WireGuard es un protocolo VPN único en el sentido de que utiliza claves para identificación y cifrado, mientras que OpenVPN utiliza certificados. (Vea más en nuestra explicación de WireGuard VPN ).

5. El pirata informático obtuvo datos de transacciones (no datos financieros confidenciales)

En nuestro informe original, notamos que solo podíamos ver datos de transacciones, que no incluían información financiera confidencial como números de tarjetas de crédito o detalles bancarios. LimeVPN ha corroborado esto con la siguiente declaración:

No hay datos de tarjeta de crédito / pago. Los únicos datos son el nombre / correo electrónico / dirección junto con la identificación de la transacción, el monto y el método de pago. (Esto lo registra automáticamente whmcs). No facturamos / nunca facturamos tarjetas de crédito en nuestros sistemas internos. La única actualización que recibimos / registramos son los ID de transacción. Por lo tanto, la fuga de tarjetas de crédito no es cierta.

Teníamos curiosidad por saber cómo el pirata informático tenía datos de transacciones tan recientes como el 30 de junio, cuando LimeVPN había afirmado que se trataba de una base de datos de respaldo de meses de antigüedad. Le planteamos la pregunta a LimeVPN y nos dieron esta explicación:

Hay un usuario administrador de API que estaba en WHMCS y que tenía acceso a las actualizaciones en vivo. Esta API fue la interacción entre nuestra página de pedidos y WHMCS. Entonces, cuando se filtró la copia de seguridad, también se filtró esta credencial de API. Esto actualiza la información del pedido entre el sitio web principal y WHMCS. (nombre, correo electrónico, identificación del pedido, método de pago). No se realiza ningún pago por nuestra parte. Solo recibimos una notificación de webhook desde la puerta de enlace.

También hemos suspendido el acceso a la API. Como precaución y para tranquilizar a los usuarios, cerraremos nuestro servidor en vivo actual y migraremos nuestro sitio en vivo a un nuevo servidor con un nuevo servidor de facturación implementado esta noche.

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

6. ¿Qué contraseñas fueron violadas?

En la publicación original del hacker, afirmó tener nombres de usuario y contraseñas para 10,000 cuentas VPN, con las contraseñas almacenadas en texto sin cifrar, y nos proporcionó algunas capturas de pantalla para verificación. Si bien podríamos haber descargado un cliente de LimeVPN y haber probado las credenciales en servidores en vivo, sentimos que esta era una línea ética que no queríamos cruzar.

Sin embargo, hoy finalmente obtuvimos más información sobre estas contraseñas de LimeVPN:

En lo que respecta a las credenciales de acceso, whmcs almacena todas las contraseñas en un hash seguro.

La única contraseña que se filtró es la contraseña de conexión VPN, que también se suspendió de inmediato. Esta contraseña se genera automáticamente y los clientes no pueden establecerla, por lo que es poco probable que algún cliente pueda reutilizarla en cualquier lugar.

Los inicios de sesión del área de cliente de whmcs están asegurados.

– Declaración de LimeVPN para RestorePrivacy 2 de julio de 2021

7. Descripción general del truco

Ahora que hemos obtenido más información de LimeVPN hoy, parece que el hackeo es menos significativo de lo que creen tanto el hacker como varios medios de comunicación. Y después de examinar toda la evidencia del hacker y obtener declaraciones actualizadas de LimeVPN, parece que el hack no afectó el entorno VPN en vivo , sino solo un servidor de respaldo.

No obstante, este servidor de respaldo fue suficiente para obtener los siguientes registros:

  • Nombres de usuario y correos electrónicos de LimeVPN
  • Información de transacciones de VPN (pero no datos financieros confidenciales)
  • Otros registros internos

Estaremos atentos a la situación y continuaremos actualizando este artículo con más información. A continuación se muestra nuestro informe original, con correcciones y actualizaciones basadas en la nueva información que obtuvimos hoy de LimeVPN.


Millones de personas en todo el mundo utilizan los servicios VPN para lograr niveles más altos de privacidad y seguridad. Normalmente, esta es una buena idea, especialmente si está utilizando una VPN de alta calidad que ha pasado auditorías de seguridad independientes. Pero como ocurre con todo en la vida, hay excepciones a la regla. Ingrese a LimeVPN.

Hoy temprano (29 de junio de 2021), un pirata informático publicó un anuncio en RaidForums para vender todos los datos que obtuvo al piratear LimeVPN . Como puede ver en nuestra captura de pantalla a continuación, el pirata informático ofrece la base de datos completa del proveedor de VPN, incluidas las credenciales de todos los usuarios registrados (correo electrónico y contraseña), junto con la información de facturación y transacciones.

Examinamos la muestra de datos en el foro y luego nos comunicamos con el pirata informático para obtener más información para escribir este informe. El vendedor, que se hace llamar «slashx» en el foro de piratas informáticos, solo pide 400 dólares por el conjunto de datos completo , que incluye:

  • Credenciales para los más de 10,000 usuarios de LimeVPN (dirección de correo electrónico y contraseñas)
  • Registros de transacciones de WHMCS (los sistemas de gestión de facturación utilizados por LimeVPN)
  • Bases de datos y registros internos de VPN

Nos comunicamos con el pirata informático y pudimos obtener más información, incluido el alcance y el impacto de esta violación de datos. Nos proporcionó capturas de pantalla y muestras de los datos a la venta.

Cuando se le presionó para obtener detalles sobre cómo obtuvo acceso al sistema de LimeVPN, el hacker no dio más detalles. Sin embargo, dijo: «Hackeo para vivir» y afirma tener la base de datos completa de LimeVPN. Esta fue la captura de pantalla publicada en RaidForums, que muestra una muestra de algunos de los archivos en la base de datos de LimeVPN:

Ahora analizaremos cada aspecto de este truco y cómo afecta a los usuarios de LimeVPN.

Credenciales para usuarios de LimeVPN

En el anuncio original, el pirata informático afirma tener credenciales de inicio de sesión para 10,000 usuarios. En correspondencia posterior, nos dijo que el número se acerca a los 12.000. Solicitamos una muestra de estos datos de credenciales de usuario, que nos proporcionó.

Esta es una de las cuentas de usuario de LimeVPN que el pirata informático proporcionó para su verificación. Observe que el nombre de usuario es la dirección de correo electrónico personal del usuario de VPN y la contraseña no tiene hash:

Esta es una de las muestras de credenciales de inicio de sesión de usuario que el pirata informático nos proporcionó para su verificación.

Además, nos dijo que podía descifrar el tráfico de usuarios de VPN porque tiene las claves públicas y privadas para cada usuario de LimeVPN. Si es cierto, esto, por supuesto, anonimiza al usuario de VPN y lo pone en riesgo de una mayor explotación y monitoreo del tráfico.

ACTUALIZACIÓN: LimeVPN ha aclarado que solo se expusieron unas 25 claves de WireGuard para las pruebas internas de WireGuard.

Datos de usuario de LimeVPN expuestos

Como breve resumen, el pirata informático afirma tener la siguiente información para cada cuenta de usuario de LimeVPN:

  • Nombre de usuario (correo electrónico personal)
  • Contraseña ( en texto plano )
  • Detalles de la suscripción a VPN

Con nombres de usuario y contraseñas, se podría intentar lanzar ataques de relleno de credenciales. Con un ataque de relleno de credenciales, un actor de amenazas puede intentar obtener acceso a sus otras cuentas utilizando el mismo correo electrónico y contraseña. Y dado que muchas personas reciclan contraseñas (¡nunca hagas eso!), Este ataque puede producir resultados.

Con una lista gigante de credenciales, un pirata informático puede usar bots y automatización para intentar obtener acceso a numerosas cuentas diferentes.

UDPATE: Según LimeVPN, las contraseñas que se obtuvieron por la violación fueron contraseñas de sesión VPN generadas automáticamente. Por lo tanto, estos no serían útiles en un ataque de relleno de credenciales.

Consejo de RestorePrivacy : Una forma de protegerse al suscribirse a los servicios es utilizar una dirección de correo electrónico temporal desechable (no su dirección de correo electrónico habitual). De esa manera, si alguna vez se viola la base de datos de la empresa, solo se expondrá el correo electrónico de grabación que utilizó.

Registros de transacciones de LimeVPN

Al analizar los datos de muestra disponibles proporcionados por el actor de la amenaza, no parece contener métodos de pago directo , como tarjetas de crédito o datos bancarios, de los usuarios de LimeVPN. Esto se debe a que la VPN utiliza un procesador de pagos de terceros llamado WHMCS . Sin embargo, el pirata informático afirma haber obtenido toda la base de datos WHMCS con el truco LimeVPN.

34,423 registros de transacciones

Además, el pirata informático le dijo a RestorePrivacy que la base de datos contiene 34,423 registros de transacciones de usuarios de LimeVPN. Esto incluía el nombre del usuario y los detalles de pago. Las capturas de pantalla a continuación muestran detalles de transacciones recientes, incluso hasta hoy. Estos incluían el nombre del cliente y el método de pago, pero no los detalles de la tarjeta de crédito.

Esta es una muestra de 34.423 detalles de transacciones obtenidos por el pirata informático.

ACTUALIZACIÓN: Según lo confirmado por LimeVPN, el pirata informático tenía acceso temporal a la API y podía ver las compras de los usuarios, pero no la información de facturación. Este acceso a la API ahora se ha suspendido.

Consejo de RestorePrivacy : al comprar suscripciones en línea, ya sea para una VPN o cualquier otra cosa, puede utilizar un método de pago privado o anónimo . Esto es útil porque no vincula el pago a su identidad y puede proteger mejor sus cuentas financieras si hay una violación de datos.

LimeVPN confirma que su servidor fue pirateado

Después de verificar muestras de los datos de este truco, intentamos alertar a LimeVPN sobre el problema y también obtener un comentario sobre la situación de este artículo.

El 30 de junio de 2021, LimeVPN respondió a nuestros correos electrónicos, confirmando que su servidor de respaldo fue realmente pirateado. Esto es lo que dijeron:

Hemos verificado que esto es de nuestro servidor de respaldo y no de nuestro servidor principal. Por lo que los clientes actuales no se ven afectados.

Si bien vemos al pirata informático anunciando el «sistema de respaldo del proveedor de VPN» a la venta, también vemos transacciones recientes tan recientes como hoy (30 de junio de 2021). Estas listas incluyen los nombres completos de los suscriptores actuales.

LimeVPN también agregó en un correo electrónico a RestorePrivacy que, “ Hemos restablecido todas nuestras credenciales de acceso y hemos iniciado una auditoría del sistema. «

Implicaciones a largo plazo de este truco

La confianza es fundamental para cualquier servicio VPN. Después de todo, confía en la VPN para asegurar todo su tráfico de Internet a través de sus servidores. Si algo sale mal, eso podría dar a los malos actores una idea de todo lo que hace en línea y, potencialmente, peor aún, explotar los datos que pueden recopilar.

Cuando se viola la confianza con los servicios VPN, muchos luchan por recuperarla de sus usuarios. Por ejemplo, informamos sobre el problema de los usuarios de registro de IPVanish para el FBI, todo mientras afirmamos ser un servicio VPN «sin registros». De manera similar, hace unos años, hubo el caso de los usuarios de registro de PureVPN mientras afirmaban recopilar «registros cero».

ACTUALIZACIÓN: LimeVPN ha confirmado que no almacenan ningún registro de uso de sus usuarios. Y no he visto ningún registro que indique que los registros de uso (actividad del usuario, navegación, etc.) se estén almacenando o disponibles para el pirata informático.

Y como notamos recientemente en nuestro artículo sobre la fuga de datos de LinkedIn , los piratas informáticos a menudo reúnen varios datos para crear perfiles de datos de posibles víctimas . Las cuentas de usuario y los datos en esta filtración de LimeVPN son solo más piezas del rompecabezas que pueden ser utilizadas por los malos actores. En muchos casos, los actores de amenazas acumularán vastas colecciones de datos de diversas fuentes, como vimos con COMB (Compilación de muchas infracciones) .

Conclusión actualizada

Si bien el servidor de respaldo de LimeVPN fue pirateado, el daño parece ser menor de lo que ha afirmado el pirata informático (e informado en otro lugar).

Hace unos años, NordVPN también tuvo un incidente de seguridad, pero este incidente tuvo un alcance aún más limitado y no afectó a ningún usuario de NordVPN. Con el caso de NordVPN, se obtuvo un certificado TLS caducado para un solo servidor en Finlandia. Pero esto tuvo poco o ningún valor, ya que el certificado estaba vencido y no se podía usar para acceder a los datos del cliente o descifrar el tráfico.

El sitio web Have I Been Pwned también es útil para ver si alguno de sus nombres de usuario o contraseñas se ha visto comprometido.

Para repasar todas las herramientas que necesita para la autodefensa digital, consulte nuestra página de herramientas de privacidad .

Deja un comentario