The hacktivist group called CiberInteligencia SV published on Monday, April 22, on a deep web forum, a compromised file with the source code of the Chivo Wallet ATMs, belonging to the government electronic wallet used for operations with Bitcoin and other cryptocurrencies.
The group of hackers released the information on the breachforums.st website with the message: “This time I bring you the code that is inside the Bitcoin Chivo Wallet ATMs in El Salvador. Remember that it is a government wallet and as you know we do not sell, we publish everything for free for you.”
A source code is software that contains statements, instructions, and functions that act as a basis for a certain program to function, in this case, it is the system that allows the operation of the electronic wallet ATMs.
Specialists consulted by LA PRENSA GRÁFICA explained that whoever downloads this data and knows how to use it could enter the ATM network and hack them, analyze their internal functioning, use specialized tools to download user data or even empty accounts.
This medium tried yesterday to contact Chivo S.A. de C.V., the company that owns the Chivo Wallet application and the ATMs where transactions are made. An email was sent to their support department, but at the close of this note, no response was received. There was also no public statement about the leak.
The dangers of this leak
Carlos Palomo, IT specialist and technician of the Transparency, Social Oversight, and Open Data Association (Tracoda), analyzed this new leak and said that “it is worrying that configuration files, executables, and other elements are available on the internet that, in theory, are not supposed to be publicly available. This speaks quite poorly of the security measures and risk mitigation measures adopted.”
He also expressed that the main concern with these types of cyberattacks is whether or not they will endanger the personal data of Salvadoran citizens who use the ATMs or the Chivo Wallet app.
“What should be most concerning is whether there is any unprotected access credential to a service or system through which personal or confidential data can be extracted, or that may jeopardize the company’s operations,” Palomo said.
The leak was picked up internationally by several media outlets specialized in cryptocurrencies. The website cointelegraph.com noted that “the saga of the Bitcoin wallet (Chivo), operated by the Salvadoran State, continues to unfold as hackers expose more sensitive information related to the wallet,” and it also highlighted the government’s silence over the constant data leaks.
Hours later, on April 23, a ransomware group, or hackers, posted on the same forum that they have information stolen from the Ministry of Local Development of El Salvador, led by María Chichilco. However, they have not leaked it for free, but are asking for a “ransom” of 8 bitcoins in exchange for not disclosing it.
Un grupo de hacktivistas filtró los códigos de los cajeros de la Chivo Wallet; experto ve peligro con datos de los clientes
El grupo de hacktivistas denominado CiberInteligencia SV publicó el lunes 22 de abril, en un foro de la web profunda (deep web), un archivo compromido con el código fuente de los cajeros Chivo Wallet, pertenecientes a la billetera electrónica gubernamental que se utiliza para operaciones con Bitcoin y otras criptomonedas.
El grupo de hackers liberó la información en el sitio web breachforums.st con el mensaje: “En esta ocasión te traigo el código que está dentro de los cajeros automáticos Bitcoin Chivo Wallet en El Salvador. Recuerda que es una billetera gubernamental y como sabes no vendemos, publicamos todo gratis para ti”.
Un código fuente es un software que contiene declaraciones, instrucciones y funciones que actúan como base para que un determinado programa pueda funcionar, en este caso es el sistema que permite las operaciones de los cajeros electrónicos de la billetera.
Especialistas consultados por LA PRENSA GRÁFICA explicaron que quien descargue estos datos y sepa utilizarlos podría entrar a la red de los cajeros y hackearlos, analizar su funcionamiento interno, utilizar herramientas especializadas para descargar datos de sus usuarios o incluso vaciar cuentas.
Este medio intentó ayer contactar a la empresa Chivo S.A. de C.V., que es la empresa propietaria de la aplicación Chivo Wallet y de los cajeros en los que se realizan las transacciones. Se escribió un correo electrónico a su departamento de soporte, pero al cierre de esta nota no recibió ninguna respuesta. Tampoco hubo un pronunciamiento público sobre la filtración.
Los peligros de esta filtración
Carlos Palomo, informático y técnico de la Asociación Transparencia, Contraloría Social y Datos Abiertos (Tracoda), analizó esta nueva filtración y dijo que “es preocupante que estén disponibles en internet archivos de configuraciones, ejecutables y otros elementos que, en teoría, no están supuestos para estar a disposición pública. Habla bastante mal de las medidas de seguridad y de mitigación de riesgos adoptadas”.
También expresó que la principal preocupación con este tipo de ciberataques es que si esto pondrá o no en riesgo los datos personales de ciudadanos salvadoreños que utilizan los cajeros o la aplicación de Chivo Wallet.
“Lo que más debería causar preocupación es si hay alguna credencial de acceso desprotegida a un servicio o sistema por medio del cual puedan extraerse datos personales o confidenciales, o que pueda poner en riesgo las operaciones de la empresa”, opinó Palomo.
La filtración fue retomada a nivel internacional por varios medios especializados en criptomonedas. El sitio web cointelegraph.com destacó que “la saga de la billetera de Bitcoin (Chivo), operada por el Estado salvadoreño, continúa desarrollándose a medida que los hackers exponen más información sensible relacionada con la billetera” y destacó también el silencio gubernamental por la filtración constante de datos.
Horas más tarde, este 23 de abril, un grupo de ransomware, o piratas informáticos, publicó en el mismo foro que tiene información sustraída del Ministerio de Desarrollo Local de El Salvador, dirigido por María Chichilco. Sin embargo, ellos no la han filtrado de forma gratuita, sino que antes están pidiendo un “rescate” de 8 bitcoins a cambio de no revelarla.