Orange reconoce un ciberataque que ha provocado una caída de su servicio de Internet en España

Desde primera hora de la tarde los clientes de Orange en España han experimentado serios problemas a la hora de conectarse a Internet. Lo que al principio podría parecer una caída puntual del servicio, se ha extendido en el tiempo y finalmente el operador ha reconocido que ha sido víctima de un ciberataque mediante el cual un tercero ha logrado acceder a su cuenta en el Centro de Coordinación de redes IP europeas (RIPE, por sus siglas en francés).

El RIPE es un organismo europeo que se encarga de supervisar la asignación y registro de los números de recursos de Internet, es decir, las direcciones IP y los sistemas autónomos. Los operadores registran en la base de datos de RIPE la información necesaria para que en los rangos de direcciones IP no existan duplicados y el tráfico de la red llegue al host correcto. El atacante ha entrado en la cuenta de Orange en el RIPE y modificado los prefijos de red provocando que las otras redes rechazasen el tráfico procedente de Orange. La red del operador ha quedado desconectada del resto y sus usuarios no podían navegar.

“La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegación de algunos de nuestros clientes”, dice Orange en un mensaje publicado en X (Twitter). En un segundo texto en la misma red social el operador asegura que “el servicio está prácticamente restablecido” y confirma “que en ningún caso los datos de nuestros clientes están comprometidos, solo ha afectado a la navegación de algunos servicios”.

El desvío del tráfico de Orange ha quedado reflejado en Cloudflare Radar, que anotó el inicio del descenso a las 15:45 hora peninsular española. La caída del tráfico fue de cerca del 50 %, según anota Bandaancha. Para que todo vuelva a la normalidad tendrán que pasar algunas horas debido a que las correcciones realizadas por Orange tienen que extenderse por la red. Respecto al atacante, se hace llamar Snow y ha reclamado la acción abriéndose una cuenta en X y mostrando en ella capturas de la interfaz de RIPE desde la cuenta de Orange.
El como ha conseguido entrar lo desconozco pero si no estaban usando 2FA para el acceso a RIPE sería para matarlos.
De ahí el cachondeo de esta tarde. A tomar por culo la telefonía IP y ni caso desde orange. Me estaba cagando yo en el servicio para grandes empresas. Por lo menos ahora tengo fé de que mañana a primera hora todo va a funcionar [borracho]
Espero que tengan la decencia de compensar a sus clientes por su ineptitud.
Dos horas he perdido hoy con cosas raras con la VPN, y yo pensando que era el firewall. Al final me he ido sin solucionar nada…ahora conecto y todo arreglado por arte de magia. Joder, mi segundo día después de las vacaciones…soy gafe.
Rocket_Raccoon escribió:El como ha conseguido entrar lo desconozco pero si no estaban usando 2FA para el acceso a RIPE sería para matarlos.


Pero tu de verdad te crees que esto va con un SMS en un móvil o algo asi?
txeriff escribió:
Rocket_Raccoon escribió:El como ha conseguido entrar lo desconozco pero si no estaban usando 2FA para el acceso a RIPE sería para matarlos.


Pero tu de verdad te crees que esto va con un SMS en un móvil o algo asi?

Se como va porque hace tiempo me tuve que encargar de solicitar y gestionar un /22. Luego ya me trasladaron de departamento y cedí todo el acceso a un tercero.

También puede ser que alguien que haya sido despedido recientemente como venganza se haya llevado regalitos y "cedidos" a quien no debe.
Menos mal que he tirado de vpn y he podido currar.
Y yo todo mosca esta tarde. Haciendo las mil y una porque no podía acceder a mil sitios.
No me imaginaba algo de esta magnitud.
si han robado datos no lo van a decir... cuando el cliente incumple una norma lo crujen... pero ellos pueden comprometer la privacidad de sus clientes por una seguridad nefasta y dejarlos sin servicio durante horas y no les pasa nada...
Quark escribió:Espero que tengan la decencia de compensar a sus clientes por su ineptitud.



Deberían
sonyfallon escribió:
Quark escribió:Espero que tengan la decencia de compensar a sus clientes por su ineptitud.



Deberían


Tener fe ... [carcajad]
si han robado datos no lo van a decir... cuando el cliente incumple una norma lo crujen... pero ellos pueden comprometer la privacidad de sus clientes por una seguridad nefasta y dejarlos sin servicio durante horas y no les pasa nada...


No cuesta tanto leer la noticia. Han accedido a la cuenta de RIPE, en RIPE no hay datos de clientes, es la gestión de las direcciones IP y de su sistema autónomo: absolutamente nada que ver con los clientes.
Acceden vía user y password (ripeadmin, según ha dicho en Twitter) sin doble autentificación y lo llaman Cyberataque XD
Jala escribió:Acceden vía user y password (ripeadmin, según ha dicho en Twitter) sin doble autentificación y lo llaman Cyberataque XD

El ciberataque parece que vino antes, en septiembre, cuando infectaron el pc de un empleado y sacaron todas las claves.
Eru_iluvatar escribió:Menos mal que he tirado de vpn y he podido currar.


¿Pero eso funciona en estos casos?

Yo en el curro me conecto por VPN (todo automático), pero antes tiene que haber internet. Y como en este caso, no conseguía conectarme, la VPN del curro no conectaba.

O sea, wifi tenía, y algunas páginas iban, pero muuuuuuuuuy lentamente.

¿Lo hiciste a través del router? ¿O algún programa?
Jala escribió:Acceden vía user y password (ripeadmin, según ha dicho en Twitter) sin doble autentificación y lo llaman Cyberataque XD


Es flipante. Tanto que desde una empresa de este tamaño utilicen semejante mierda de contraseña tanto como de la plataforma por no exigir unos mínimos en la misma. Hoy en día. Alucino. Ya no te hablo de obligar a usar un 2fa, que también, pero exigir un mínimo en las contraseñas debería ser obligatorio, por ley, en cualquier plataforma
ripadmin será ahora la pass
Eso explicaría por qué la mitad de las páginas con Simyo no cargaban...
Solo para vuestra información, mienten, los datos si han sido comprometidos.
[quote="ArtiomNietoB"]Solo para vuestra información, mienten, los datos si han sido comprometidos.[/quote
Es que el que se crea que "solo" tienen las claves de RIPE es bastante iluso, esto acaba de empezar veremos en los próximos días porque seguro que hay más filtraciones
sutalu escribió:
Eru_iluvatar escribió:Menos mal que he tirado de vpn y he podido currar.


¿Pero eso funciona en estos casos?

Yo en el curro me conecto por VPN (todo automático), pero antes tiene que haber internet. Y como en este caso, no conseguía conectarme, la VPN del curro no conectaba.

O sea, wifi tenía, y algunas páginas iban, pero muuuuuuuuuy lentamente.

¿Lo hiciste a través del router? ¿O algún programa?

Si su empresa está dentro del fragmento que ha quedado aislado, puede haberse conectado por VPN a su empresa, pero si esta pertenece a otro. ISP o fragmento no puedes.
Orange se ha quedado aislado del resto de inet.
Vergonzoso que en pleno 2024 suceda algo así.
Es lo que tiene cuando muchas manos tienen acceso a muchas cosas.
En las grandes empresas pasa eso...demasiadas manos y puede alguien comerse algun programa con sorpresa y más si conocen que esa persona curra en x o y pueden atacarle todos los días..

Pero olvido que es eol y..

la cantidad de asesores de seguridad que hay en este foro, no entiendo que hacen sin pedir trabajo a las grandes telecos no solo de España sino del mundo como asesores de ciber seguridad.

2FA no es la panacea, se de muchos casos como eso se lo pasan por la piedra sin más.
Que le pregunten a Google....
CLaro que 2fa no es la panacea, pero joder, cuantas mas capas de seguridad y mas "preparado" esté el usuario para ser lo suficientemente consciente de que "ripeadmin" no es una contraseña segura y que lleva sin cambiarse mas de 6 meses, mejor, no?

Que no hace falta ser un experto en ciberseguridad para promover buenas practicas dentro de la empresa en la que trabajas y al que no haga ni puto caso mandarlo a currar a orange.
Quark escribió:Espero que tengan la decencia de compensar a sus clientes por su ineptitud.

A mi me tuvieron 4 meses sin internet por su ineptitud y no me compensaron lo mas mínimo. Es más, aun me hablaban de forma altiva y perdonavidas. Los 4 meses me los cobraron y no me devolvieron la pasta. El día que inicié la portabilidad a otra compañía, me llaman diciéndome que si no me voy me arreglan el problema en 48 horas o menos, y que si me voy me puedo olvidar de que me devuelvan la pasta que me han cobrado por una conexión que no había funcionado durante 4 meses.

Para mi Orange son los peores ESTAFADORES que he visto y unos inútiles e incompetentes de cuidado. No los contrataría ni gratis, ni con el dinero de otro, vamos... ni que me pagaran por usar sus servicios vuelvo a Orange.
Datos extraidos por el atacante:

URL: https://access.ripe.net
login: adminripe-ipnt@orange.es
password: ripeadmin

¿¿¿¿PERO KHE????

y no, no se hubiesen librado de un 2FA, ya que si el 2FA era un email, le tenian secuestrado el acceso al webmail tambien, o sea, que al intentar entrar en RIPE, le habrian enviado un email, y el atacante hubiese visto el email 2FA por el webmail...

joooo-der

de hecho, es que ni siquiera era necesario que la password fuese complicada: el malware extrajo todas las passwords, independientemente de su complejidad. una password compleja no les habria librado del hackeo, solo una separacion de entornos informaticos seguros/expuestos les habria librado...
Rocket_Raccoon escribió:Todo explicado: https://bandaancha.eu/articulos/secuest ... pana-10796


Interesante! Cómo comenta el compi de abajo, con cualquier password también lo hubieran tumbado.
No han conseguido acceder a más sitios, además de RIPE. Sí han sacado más claves, pero eran aplicativos de la intranet y no han tenido acceso a la VPN, así que no han podido obviamente entrar. El caso de RIPE era aparte porque la web es pública.

Además, en Orange los departamentos son muy grandes y la información está muy dispersa. El equipo afectado es de Ingeniería de Red, nadie de ese departamento conoce los datos de clientes ni sabe cómo acceder a ellos, ya que los departamentos de B2B y B2C trabajan cada uno por separado con aplicativos diferentes (y además están en la intranet, con lo que sin haber accedido por VPN igualmente los datos estarían a salvo).
No se hasta que punto sería seguro usar 2FA con aplicaciones de códigos temporales (y es lo que uso en todo) en vez de un correo de recuperación o si lo tienes como segunda opción, también el acceso con 2FA y no guardar las contraseñas en el navegador y usar un gestor que las cifre con una contraseña maestra bien oculta, pero es que ni un mínimo de seguridad. Si le pasa a un pequeño operador lo puedo entender, pero que le pase a un gigante como Orange, es para mear y no echar gota.
Joder, según la página de BandaAncha, la cuenta ni siquiera estaba protegida por 2FA [facepalm]

La empresa de ciberseguridad HudsonRock desvela3 que el equipo de un empleado de Orange España fue comprometido el pasado 4 de septiembre de 2023 mediante el malware Racoon. Entre la credenciales recopiladas está la contraseña utilizada para acceder a la cuenta de RIPE, que además era absurdamente simple: ripeadmin. El atacante encontró los credenciales buscando en "filtraciones públicas de datos de bots" y le llamó la atención el nombre de la cuenta y la ausencia de doble factor 2FA.
Ya decía yo que me iban mal algunos sitios[curiosamente en juegos online como Warframe, todo iba normal :-?] en mi caso resetee el router un par de veces y parece que la tercera coincidió con el restablecimiento de la conexión [+risas]
Rocket_Raccoon escribió:
txeriff escribió:
Rocket_Raccoon escribió:El como ha conseguido entrar lo desconozco pero si no estaban usando 2FA para el acceso a RIPE sería para matarlos.


Pero tu de verdad te crees que esto va con un SMS en un móvil o algo asi?

Se como va porque hace tiempo me tuve que encargar de solicitar y gestionar un /22. Luego ya me trasladaron de departamento y cedí todo el acceso a un tercero.

También puede ser que alguien que haya sido despedido recientemente como venganza se haya llevado regalitos y "cedidos" a quien no debe.


No se que es un /22.:

https://twitter.com/vxunderground/statu ... 12/photo/1
cotnraseña ripeadmin. OK.
txeriff escribió:
Rocket_Raccoon escribió:
txeriff escribió:
Pero tu de verdad te crees que esto va con un SMS en un móvil o algo asi?

Se como va porque hace tiempo me tuve que encargar de solicitar y gestionar un /22. Luego ya me trasladaron de departamento y cedí todo el acceso a un tercero.

También puede ser que alguien que haya sido despedido recientemente como venganza se haya llevado regalitos y "cedidos" a quien no debe.


No se que es un /22.:

https://twitter.com/vxunderground/statu ... 12/photo/1
cotnraseña ripeadmin. OK.


una IP con máscara de red /22 (las que tenemos por casa suelen ser /24). Por no liar la explicación, tu en casa puedes asignar IP's por ejemplo desde 192.168.1.0 hasta el 192.168.1.255, (es decir, puedes utilizar los últimos 32-24 = 8 bits para hacer la asignación).

En una red /22 podrías asignar 2 bits adicionales, es decir, 10 bits, por lo que estarías manejando unas +1000 direcciones en una red.

Las compañías de comunicaciones manejan ese tipo de redes, e incluso más grandes, para asignárselas a los clientes. Ellos alquilan a una entidad internacional un determinando rango de IP's y luego cada compañía le asigna esas IP's a sus clientes (una IP por cliente, por lo general, que en el caso de gente como nosotros pues esa IP sería la "IP pública"... la IP con la que nos comunicamos con el resto de internet.)

Pero si, no tener F2A en algo como eso (joder, que hasta yo lo tengo en Steam y mierdas menos importantes) debería ser obligatorio, y la contraseña en minúsculas, corta y que casi aparezca en la propia dirección del correo... sin comentarios [+risas] )

Al final como comentan por ahí arriba, el usuario que hizo ese acceso encontró las credenciales en un leak público de hace meses, el mal ya estaba hecho. Quizás otra persona si haya encontrado datos más sensibles usando las credenciales filtradas... no me extrañaría.

En fin, llevamos unos mesecitos de puras filtraciones en España, poca broma.

Edit (video compartido por el propio "atacante", menos mal que estaba aburrido y no tenía ganas de liarla [+risas] )
Teuti escribió:
txeriff escribió:
Rocket_Raccoon escribió:Se como va porque hace tiempo me tuve que encargar de solicitar y gestionar un /22. Luego ya me trasladaron de departamento y cedí todo el acceso a un tercero.

También puede ser que alguien que haya sido despedido recientemente como venganza se haya llevado regalitos y "cedidos" a quien no debe.


No se que es un /22.:

https://twitter.com/vxunderground/statu ... 12/photo/1
cotnraseña ripeadmin. OK.


una IP con máscara de red /22 (las que tenemos por casa suelen ser /24). Por no liar la explicación, tu en casa puedes asignar IP's por ejemplo desde 192.168.1.0 hasta el 192.168.1.255, (es decir, puedes utilizar los últimos 32-24 = 8 bits para hacer la asignación).

En una red /22 podrías asignar 2 bits adicionales, es decir, 10 bits, por lo que estarías manejando unas +1000 direcciones en una red.

Las compañías de comunicaciones manejan ese tipo de redes, e incluso más grandes, para asignárselas a los clientes. Ellos alquilan a una entidad internacional un determinando rango de IP's y luego cada compañía le asigna esas IP's a sus clientes (una IP por cliente, por lo general, que en el caso de gente como nosotros pues esa IP sería la "IP pública"... la IP con la que nos comunicamos con el resto de internet.)

Pero si, no tener F2A en algo como eso (joder, que hasta yo lo tengo en Steam y mierdas menos importantes) debería ser obligatorio, y la contraseña en minúsculas, corta y que casi aparezca en la propia dirección del correo... sin comentarios [+risas] )

Al final como comentan por ahí arriba, el usuario que hizo ese acceso encontró las credenciales en un leak público de hace meses, el mal ya estaba hecho. Quizás otra persona si haya encontrado datos más sensibles usando las credenciales filtradas... no me extrañaría.

En fin, llevamos unos mesecitos de puras filtraciones en España, poca broma.

Edit (video compartido por el propio "atacante", menos mal que estaba aburrido y no tenía ganas de liarla [+risas] )


Si me dices un "/22" es como si yo te digo un findset.
Soy programador pero sinceramente todo el tema de redes lo deje hace mas de 15 años.
De todos modos gracias. Por lo que parece segun la captura la contraseña es de puta risa (lo tipico, cuanto mayor es la empresa como hay mas rotacion y desastre...) y se robo con un malware.
Ayer por la tarde estaba viendo streaming y jugando, sali del juego para mirar unas cosas y sorprendio que google no iba por ejemplo, pero eol si, y varias paginas no me cargaban... pero el streaming y el juego online si... ya al rato fue bien.
Y ahora acabo de encender el pc y me esta tardando en cargar la de dios, parece que he vuelto al 2002...
Es que con esa seguridad que manejan, se lo ponen a huevo.
sutalu escribió:
Eru_iluvatar escribió:Menos mal que he tirado de vpn y he podido currar.


¿Pero eso funciona en estos casos?

Yo en el curro me conecto por VPN (todo automático), pero antes tiene que haber internet. Y como en este caso, no conseguía conectarme, la VPN del curro no conectaba.

O sea, wifi tenía, y algunas páginas iban, pero muuuuuuuuuy lentamente.

¿Lo hiciste a través del router? ¿O algún programa?


Desde el pc puse el vpn y me funcionaba. El móvil tampoco me iba y también active el vpn y también se me apaño.
Viniendo de Orange ni me extraña que tuvieran a alguien tomándose así de “serio” su trabajo, por desgracia.
Quark escribió:Espero que tengan la decencia de compensar a sus clientes por su ineptitud.

Imagen

aka_psp escribió:Viniendo de Orange ni me extraña que tuvieran a alguien tomándose así de “serio” su trabajo, por desgracia.

Ocurre en muchas mas de lo que nos pensamos, Banca incluida.
largeroliker escribió:
Jala escribió:Acceden vía user y password (ripeadmin, según ha dicho en Twitter) sin doble autentificación y lo llaman Cyberataque XD

El ciberataque parece que vino antes, en septiembre, cuando infectaron el pc de un empleado y sacaron todas las claves.


la contraseña era ripedmin ni cyberataque ni leches jajajaa
Satoru Gojo escribió:
largeroliker escribió:
Jala escribió:Acceden vía user y password (ripeadmin, según ha dicho en Twitter) sin doble autentificación y lo llaman Cyberataque XD

El ciberataque parece que vino antes, en septiembre, cuando infectaron el pc de un empleado y sacaron todas las claves.


la contraseña era ripedmin ni cyberataque ni leches jajajaa

Lo del ciberataque es real porque han sacado más datos del empleado aparte de eso [+risas]
Otra cosa es que sólo hayan querido aprovechar ese punto.

neofonta escribió:

Esto, vamos [+risas]
(mensaje borrado)
45 respuestas