Liberty Reserve - La Estafa III

Liberty Reserve permite que roben a sus usarios de manera fraudulenta

Dos capitulos anteriores han mostrado como una empresa miente, extorsiona y vapulea a sus usarios. Hoy mostraremos una carta de un usuario donde demuestra que la empresa miente.

Cronología:

Lunes, 2 de Marzo de 2009 (15:47GMT) II

Mensaje escrito por el usuario GoldMember77 en TalkGold a las 03:36PM:

Dejenme decirles que no estoy aquí para hablar mal de Liberty Reserve. Mucha gente me conoce, soy un usuario habitual en Talkgold y saben que de ninguna forma voy a hablar mal de ninguna empresa o de alguien en particular. Llevo realizando negocio en Liberty Reserve desde hace 3 años y NUNCA he tenido mi cuenta hackeada o con problemas. De hecho, estoy muy satisfecho del camino que ha seguido la empresa para cimentar su negocio hasta ahora. Y este es el por qué.

Nuestra cuenta apareció vacía la semana pasada. (Te puedo decir que ha sido algo más de US$10.000) JUSTO antes de las "actualizaciones de router" debido a un agujero de seguridad en su sistema de API. Y esto es un hecho. Llevo en el mundo del software de seguridad para negocios online más de 22 años y se perfectamente lo que hago.

Aquí expongo porque se que la API de Liberty Reserve ha sido hackeada: Nuestra API está configurada para llevar a cabo llamadas desde un UNICO IP en particular, el IP de nuestra oficina. Este IP estuvo INACTIVO en el momento de que la cuenta era saqueada debido a que estabamos realizando una actualización de IPs ya que estabamos cambiando nuestra red de servidores, de manera que desactivamos todos los IPs de nuestro router. PRIMERA PRUEBA. El atacante tenía la posibilidad de suplantar la identidad de los routers de Liberty Reserve creyendo que las llamadas se realizaban desde nuestro IP, cuando se perfectamente que el hecho es IRREFUTABLE ya que nuestro IP en cuestion estaba desactivado cuando el pago por medio de la API hackeada se llevó a cabo.

Segundo, es absolutamente imposible que alguien obtenga nuestra contraseña de la API. Todas nuestras contraseñas de Liberty Reserve tienen más de 12 caractéres, una ofuscación alta al azar con grado militar. TODA nuestra información de Liberty Reserve se encuentra almacenada en un fichero con encriptación de 256bits AES y yo soy el único que tiene la contraseña para abrirlo, y está en mi cabeza. Finalmente, nosotros no utilizamos Windows, solo Unix y Mac Os X, por lo tanto no hay troyanos en nuestros sistemas. De hecho somos algo paranoicos y solo accedemos al volumen de TruCrypt LEYENDO ÚNICAMENTE una imagen VMWare desde una distribución dificil de Linux.

No pienso que Liberty Reserve intente estafar a sus usuarios y correr con su dinero, pero pienso que estan intentando tapar lo que ocurrió la semana pasada y esto es como MUCHOS usuarios se encuentran las cuentas vacías a través de su API, es realmente tonto. La compañía debe mostrar lo que ocurrió, comerse las pérdidas y SER HONESTA con sus clientes.

No busco entablar un debate o poner triste a alguien, SE lo que hago cuando proviene de seguridad de Internet y se por el hecho de que esto ocurrio. Esto no es un debate. Espero que Liberty Reserve pueda limpiar esto. Casi todas las compañías tienen un agujero de seguridad en algún momento, o en alguno de sus sistemas. Esto no es un problema. El verdadero problema es intentar cubrir la mierda y tratar que sus usuarios pierdan el dinero.

Lunes, 2 de Marzo de 2009 (17:45GMT) III