Como eu hackei o maior provedor de internet do Brasil

Nesta história, contarei como assumi o controle de mais de 3.000 modems de clientes da empresa da NET e sem querer. A empresa é a fornecedora com o maior número de clientes de internet banda larga no Brasil, com mais de 5,5 milhões de usuários.

Contexto

Em dezembro de 2014, eu morava no Rio de Janeiro e estava trabalhando na migração de servidores físicos para servidores virtuais em uma empresa que vendia serviços de Internet. Eu precisava realizar algumas tarefas durante a noite e rever outras tarefas de longo prazo, então eu instalei um servidor VPN em uma das muitas máquinas disponíveis.

A maioria dos servidores não tinha IP público e eles estavam no intervalo de ips privados 10.0.0.0/8. Uma vez que a VPN foi configurada, tentei conectar usando o ssh a um servidor com o IP 10.0.0.100 e, por algum tempo, não consegui. Eu comecei a testar com outro servidor, em 10.0.0.101, eu não conectei por ssh também não. Ambos responderam às chamadas de ping. Não entendi porque os servidores estavam ativos mas não conectados pelo ssh eu desconectei a VPN e acidentalmente fiz ping em um dos servidores e ele respondeu.

Mmmmm, como é que sem uma VPN o servidor ia responder? Impossível!

Comecei a pesquisar que IPs foram aqueles que estavam respondendo (claramente não eram servidores) para minha grande surpresa eram 32.000 endereços que responderam. Eu usei fping para detectar os hosts que davam sinais de vida.

Agora a questão era: quem eram todos esses IPs? Pareceu-me extremamente estranho que o switch / roteador ao qual os clientes conectados não tivessem isolamento de boca. Mas com o tempo aprendi que tudo é possível em relação à segurança cibernética. Tudo.

Ao fazer um nmap em alguns, eles tinham a porta 80 aberta. Ao digitar o IP e a porta no navegador favorito, foi isso que apareceu:

Tela de login do roteador

No código fonte da página logeo apareceu o modelo do aparelho Motorola SVG1202, uma simples busca no Google me permitiria saber que o usuário e senha padrão são admin: motorola.

Ótimo, e agora o que?

Por um tempo, comecei a pensar no que poderia fazer com essa descoberta, e ocorreu-me que eu poderia usar um script para obter todos os SSIDs das redes Wi-Fi, a senha, o IP público e o código WPS. Então eu comecei a programar na minha amada shell script (bash) e esse foi o resultado:

Este script gera a seguinte saída (arquivo completo com todas as senhas no final do artigo):

10.10.0.11, netvirtua.3a, 25213370,
10.42.13.236, thaisalmeida, 13011993, 06288310
10.42.133.206, Caroline, 76111623, 35930358
10.42.137.80, net-mello, 73024829,
10.42.141.236, MOTOROLA-6A103, faf2d19c4c323d14223d,
10.42.143.168, Victor_fla, victorlucio, 79890656
10.42.143.62, lucinharg.net, vida060307, ​​36708062
10.42.14.76, Erick Cardoso, 25165974,
10.42.1.6, MARCAL, masj0715,
10.42.1.75, netvirtua373, 2734423000,
10.42.2.130, GABRIELA, 1757249800, 06134655
10.42.2.157, net-virtua-bruno, 311282820,
10.42.2.68, MOTOROLA-881CF, 0b8b1b7865ce08a561a4,
10.42.3.175, netvirtua_Pedrosa, 8309208392,

Durante todo o tempo eu estava pesquisando e obtendo credenciais dos modems que eu nunca vi como um hack ou como algo relevante, ao contrário, parecia uma anedota, principalmente porque era simples de obter as informações.

Contato com a empresa

Durante uma viagem a São Paulo, onde visitei uma amiga, tive a sorte de conhecer um cara que trabalhava na área de segurança, tinha seu contato então, escrevi para perguntar a ele quão relevante era a vulnerabilidade que ele havia encontrado e se as informações obtidas podem ser úteis para alguma coisa. Ele respondeu que parecia importante para ele informar a empresa, mas que ele fez isso com cuidado, não era o caso que eles achavam que ele estava tentando chantageá-los.

Ele me deu os contatos dos gerentes de segurança (que felizmente eram conhecidos por ele), eu escrevi para eles contando com o problema, mas também dando uma amostra da informação que eu tinha obtido. Eles responderam que o problema havia de fato sido corroborado, que era extremamente sério e que eles queriam meu CV para uma possível contratação. Depois de enviar meu currículo, eles nunca me contataram ou responderam. Eu paguei pelo noviciado.

As senhas

Do total de 32.000 roteadores, eu só tentei com o modelo da Motorola mencionado acima, que no total foram 3.655 e destes 3.490 tinham a senha padrão, o seja um 95,48%.

Depois de vários anos, estou liberar as senhas obtidas neste trabalho. São senhas WIFI definidas por cada usuário. Eu acho que eles são relevantes para a análise de como as senhas de redes WIFI são feitas em comparação com outras senhas, que há tanta influência cultural na seleção, comprimento médio, etc. Aqui o link para o documento (PDF).

Like what you read? Give Philippe Delteil a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.