Ciberataque al sistema de pagos del transporte londinense afecta a cuentas de las tarjetas contactless de Oyster, según ha revelado el propio organismo encargado del transporte público Transport for London (TfL). Por el momento se desconoce la identidad de los ciberdelincuentes.
El ataque se perpetró utilizando lo que se conoce como «Credential Stuffing«, una metodoligía que consiste en utilizar cuentas filtradas de otros servicios y usar la misma combinación de usuario y contraseña, aprovechando la mala praxis de los usuarios de utilizar las mismas credenciales en diferentes servicios.
A diferencia del craqueo de credenciales, los ataques de relleno de credenciales o «Credencial Stuffing» no intentan acceder mediante la fuerza bruta ni descifrar ninguna contraseña: el atacante simplemente automatiza los inicios de sesión de miles a millones de pares de credenciales descubiertos previamente utilizando herramientas de automatización web estándar como Selenium, cURL, PhantomJS o herramientas diseñadas específicamente para estos tipos de ataques como Sentry MBA.
El portavoz de Trasport of London hizo saber que había sido accedidas más de 1200 cuentas de manera ilícita, si bien los datos bancarios no fueron expuestos. Cautelarmente han clausurado las cuantas contactless mientras optimizan el sistema de seguridad de la plataforma y han dado la alerta a los usuarios afectados.
En declaraciones al medio de comunicación The Register, un portavoz de TfL comentó que habían identificado unas 1200 cuentas accedidas ilícitamente, aunque los datos de pago no han sido expuestos. Como medida de precaución, han cerrado temporalmente las cuentas contactless y de Oyster, mientras mejoran la seguridad de la plataforma, y se han puesto en contacto con los clientes perjudicados.
Desde Aronte recomendamos que jamás se utilicen las mimas credenciales para diferentes servicios web, ya que de quedar expuesto o de ser filtrado pueden ser utilizadas para intentar acceder a otros servicios de uso común y de manera automatizada.
