#idental

Objetivo: iDental (Clínicas odontológicas low cost) URL: http://www.asistenciadentalsocial.com WAF/IDS: CDN de Incapsula Vulnerabilidad explotada: SQLInjection Bypas de WAF: Script Base64 Programación: PHP; Java DataTable para la paginación de resultados Base de Datos: MYSQL Hosting: OVH

En un primer análisis comprobamos que el dominio dirige a una IP asignada a una CDN (Red de distribución de contenidos): 107.154.80.47 de Incapsula Inc que actúa como WAF impidiendo escaneos con herramientas habituales. Un whois sobre el dominio nos indica que los datos de registro están protegidos y que el hosting pertenece a OVH en la IP 37.187.174.189

Profundizando un poco más sacamos el panel del servidor https://ns376142.ip-37-187-174.eu:8443/login_up.php3, un Parallel Plesk.

Pero, como en todo entramado digital, siempre queda un cabo suelto que nos permite ir tirando del hilo. En este caso se encontraba en el dominio ucsgestiona.com que fue registrado a nombre de identalglobal.com en marzo de 2015 por un tal José Arteaga. Tanto este dominio (identalglobal.com) como dentalglobaltraining.com, otra de las pantallas de iDental [y que, curiosamente, como la mayoría de los dominios analizados, se registran en la empresa Dinahosting y se alojan en el mismo servidor de OVH (NS3073618.IP-217-182-192.EU SDNS2.OVH.NET)], ocultan el whois. El dominio pricipal asistenciadentalsocial.com lo hace en el server NS376142.ip-37-187-174.eu SDNS2.OVH.NET como ya avanzamos.

La telaraña digital tejida por esta pandilla de estafadores “legales” es prolífica y os aburriríamos, así que sólo destacaremos algunas joyas:

http://trabajaenidental.com http://ucscapacita.org http://identalcarreraprofesional.com http://www.estudiantesanitarioresidente.com https://identalinnovacion.com http://identalnoticias.com http://www.sentrydoctor.com

Las empresas origen, llamadas todas “[Provincia] Union Dental”, provienen de los negocios iniciales de su fundador: DENTAL GLOBAL MANAGEMENT SL que a fecha de 31-3-2017 sigue ofertando empleo http://www.curraliaempleo.net/2017/03/10-vacantes-de-odontologia-en-toda.html y aparece también como administrador de MEDICAL GLOBAL INVESTMENTS SL -->> https://www.infoempresa.com/es-es/es/empresa/medical-global-investments-sl y Proyecto Neo Concept SL -->> https://www.infoempresa.com/es-es/es/empresa/proyecto-neo-concept-sl (de 2012).

La trama empresarial ya tiene sucursales en latinoamérica donde opera (caso de México) bajo los nombres de iDental, iClinic e iDoctor -->> http://somostusdentistas.com.mx En todos los casos se repite la secuencia OVH/Dinahosting en los dominios y la misma dejadez en la programación con bases de datos mysql y PHP -->> http://www.odontologiaaccesible.com.mx/test/php/test.html

Con la fórmula de asistencia social el negocio ha ido creciendo hasta tejer una red clientelar compleja digna de que la UCO le echara un vistazo. La política de comunicaciones, posiblemente a través de pagos publicitarios, es muy efectiva aunque ya vienen saliendo reportajes que tachan de estafa este invento.

Así las cosas, y con este pequeño fingerprinting, encargamos a nuestra becaria (ya ascendida) que se dispusiera a buscar vulnerabilidades de forma manual activando su imaginación con algunos canutos y Coronas, además de los sabios consejos de San Google, San Bing y otros santos de la Red.

La configuración de Incapsula impedía la utilización de scripts automatizados sobre la web, pero partíamos de un dato relevante: estaba programada en PHP con MySQL y en este tipo de código hay que ser un Wonder Developer para no dejarse alguna variable “colgando”. A la primera Corona y sin fumarse un miserable canuto, la becaria (casco número yanisesabe) caza una candidata a inyectarle cositas en la url vía GET.  El siempre amable y denostado: php?id=

Sí, queridas, ese que las script kiddies buscan como locas para poner jeringazos de consultas SQL. Nada menos que tres tipos de inyecciones posibles:

Bypasear el WAF con un script y atizarle nuestra amiga SQLMAP para que nos descubriera su flamante base de datos conteniendo una veintena de tablas cargadas de datos privados de sus más de medio millón de clientes repartidos por clínicas de toda España, fue el siguiente paso. Dumpearlas llevó también unas horas.

Tampoco le costó mucho descubrir los paneles de acceso ya que estaban (y siguen estando) en el archivo robots.txt

Eso y la tabla logintpv era suficiente para jugar un rato a hacerle endodoncias digitales a iDental...

(Naturalmente, el contenido de esa tabla fue modificado al hacerse público el hack y sustituido por otro después de haber filtrado correctamente el parámetro vulnerable).

Tanto las consultas a la base de datos como los accesos a los paneles de administración se realizaron a través de nodos especificamente seleccionados para evitar los Guard controlados o susceptibles de serlo. Ahora bien, ¿corrigieron o aumentaron las medidas de seguridad de servidores y bases de datos tal y como afirmaron en sus notas de prensa a los medios después de que canceláramos parte de las deudas de sus clientes? Pues algo han ido haciendo estos chicos, sí: además de corregir la vulnerabilidad SQLi y cambiar las passwords, han activado el protocolo https (443)... y poco más. Sabiendo como saben que la base de datos ha sido dumpeada, no han cambiado de aplicación ni suspendido temporalmente hasta que esos datos (contraseñas, expedientes, etc.) impidan a cualquier ciberdelincuente con intenciones aviesas seguir entrando a los expedientes de los pacientes 😋 ¡Sí!, estas capturas de pantalla que os facilitamos a continuación son nuevas como podéis ver en la fecha subrayada.

En el momento de publicar este How To, iDental no puede seguir tirándose el pisto que hasta ahora se ha tirado mintiendo a los medios y afirmando en comunicados que la pasarela de pagos y datos de sus clientes-pacientes están seguros y no pueden ser vulnerados. No, amiguitos... habéis hecho un mal trabajo informático como hacéis un mal trabajo en los sillones de tortura con los que sangráis a la gente que acude a vosotros.

Más os vale daros prisa en cambiar las aplicaciones. Sí, también la app móvil , que está hecha unos zorros y pemitiría “jugar” con Firebase-Google para “mejorarla”.

Y a vosotras, IT o Developers de UCS Gestiona, que ya imaginamos que os retribuirán como al resto de trabajadores de iDental (mal y poco), deciros que no hemos descubierto otros agujeros importantes que tenéis en vuestros desarrollos porque, aunque lo dudéis, os respetamos al igual que al resto de trabajadores. Respeto que tenéis mientras no seais cómplices de la gentuza que os emplea.

Una base de datos dumpeada (y os aseguramos que las vuestras lo están) exige un cambio inmediato de la información y modos de acceso a cualquier aplicación que las utilice. En tanto en cuanto no se haga, el acceso y la vulnerabilidad de las usuarias sigue estando sin resolver.

A quienes se han dirigido a nosotras: medios de comunicación, pacientes, familiares y activistas, unas pidiendo pruebas, otras ayuda, y algunas que extendiéramos nuestro radio de acción...  La novena compañía de Anonymous (guiño guiño), desde sus inicios allá por 2012, no practica un hacktivismo de telenovela o película de ficción de hackers. Ni realizamos acciones por encargo ni tenemos ninguna necesidad de ganar fama. Jamás podríamos sacar más partido de lo que hacemos que la propia satisfacción de seguir haciéndolo a nuestra manera. Y nos gustaría que entendierais un par de cosas: en un mundo avanzado tecnológicamente nadie es superior a nadie y los guardianes del sistema tendrán, como mucho, la misma información que aquellas que lo combaten si no cedemos en nuestra voluntad por el conocimiento libre y el trabajo bien hecho, a expensas de las órdenes de nadie. La competencia en el manejo de un lenguaje, como ocurre con el pensamiento, queda al margen de todo tipo de imposición.

Por desgracia, hay suficientes expertos en ciberseguridad en este país dispuestos a enrolarse en los ejércitos del ciberespacio o a colaborar con los chicos de las chapas y los chalecos amarillos. Pero tened en cuenta algo: el código, la programación, la información y la imaginación no entienden ni de uniformes ni de banderas. Cuando la tecnología se usa para aplastar al divergente, la tecnología ya está controlando al poderoso. El Gran Hermano sólo te vigila mientras tú no vigilas al Gran Hermano.

Be brave 😉

Inglorious /b/asterds La Nueve de Anonymous

Queridos estafadores de iDental:

Hacía tiempo que no llevábamos a cabo una acción que requiriera de una pequeña investigación conjunta por nuestra parte. En los últimos meses hemos tenido a varios periodistas como aliados y a la hora de analizar datos se lo hemos dejado a ellos. Sin embargo, vosotros estáis haciendo un magnífico trabajo cerrando bocas: apenas hay medios de comunicación que se hayan hecho eco de vuestro fraude. Al parecer, porque ofrecéis dinero a vuestros clientes a cambio de su silencio o los amenazáis con demandas. Que eso lo juzgue la gente, pero mientras tanto nosotras nos hemos entretenido cancelando las deudas desde vuestra pasarela de pagos del Banco de Sabadell a la que ha accedido nuestra becaria más principiante a través de vuestra web. Menuda faena, ¿no?

Echando un vistazo a YouTube hemos dado con algunos pequeños reportajes en los que se denuncia la mala praxis de iDental: falta de preparación de los especialistas, así como de materiales y de higiene. En uno de Canal Sur, se denuncia un caso concreto que pone los pelos de punta sobre una pésima extracción en la que quedaron restos de huesos en las encías junto a unos implantes sin sujeción y otro más que perforaba uno de los senos nasales. También el alegato de una de las personas que trabajaron para la empresa, que asegura que no se tienen en cuenta las patologías de los pacientes a la hora de administrar fármacos o que muchas veces no se esteriliza el material que utilizan aun sabiendo que hay clientes con enfermedades infecciosas, resulta indignante.

Es cierto que estos hechos no los podemos probar, pero sí podemos asegurar que muchas de las empresas colaboradoras que aparecen bajo la web tienen dominios inexistentes y que casi en su mayoría están registradas por una empresa afín (Capacita, Gestiona y Dental Global son suyas, por ejemplo). Podemos afirmar con total seguridad que todo es un escaparate basado en firmas de convenios de colaboración ficticios con fundaciones con las que “seleccionan” perfiles de personas sin recursos o de diversidad funcional para dar una apariencia altruista que lo único que esconde son desgravaciones fiscales.

El modelo de negocio se basa en lo que se conoce como asistencia dental social, un sistema de ayudas dentales privadas que otorga la propia organización. iDental se presenta como la esperanza para un sector sin recursos. La realidad es que se trata de una empresa codiciada por los fondos de capital riesgo, un juguete en las manos de los estafadores de guante blanco. Que para más cachondeo, publicita un personaje como Javier Cárdenas (¡últimamente estás pillando por todos lados, macho!).

Para desgracia de la empresa, hemos penetrado hasta sus mismísimas entrañas. Estamos navegando entre medio millón de registros de pacientes a los que la empresa no facilita sus datos personales de facturación pero que, ¡oh, sorpresa!, están accesibles para cualquier wannabie a través de internet. ¿Tenéis al tanto a la Agencia de Protección de Datos, iDental? 😬

¡Pero todavía queda lo mejor! Los administradores con acceso a la pasarela de pago tienen contraseñas como (redoble de tambores)... ¡123456! ¡¡Los usuarios que mueven la pasta!! Nos hemos tomado la licencia de limpiar su conciencia y convertirles en pequeños Robin Hood's haciendo que les cancelen diversas cantidades de las deudas a vuestros estafados de forma aleatoria.

No sabemos de cuánto dinero estamos hablamos exactamente, pero se trata de miiiiiles de euros. Vosotros no los echaréis en falta, pero con ellos vuestros pacientes probablemente puedan llegar a final de mes por una vez.

Esta vez no lo sentimos tanto por la empresa de contratación informática que está cargo de la web: también pertenece a iDental 😅

A todos los estafados, parece que en Twitter se están organizando a través de la cuenta @IdentalEstafa y los hashtags #EstafaiDental #iDentalEstafa.

¡Besitos! 😘

Inglorious /b/asterds La Nueve de Anonymous

La Audiencia Nacional (AN) ha condenado a la excúpula de iDental a penas de hasta 5 años de prisión y multas de hasta 55 millones de euros por un delito continuado contra la Seguridad Social al considerar que desarrollaron “artificios engañosos” para evadir el pago de la deuda que mantenía la compañía con la entidad pública. Los magistrados han concluido, tras la prueba practicada en el juicio…

Para todas y todos los "guerreros" afectadas/os por iDental

Una de las circunstancias vitales que me han rodeado este año ha sido la maravilla de conocer a un grupo de personas “guerreras”, la mayoría mujeres.

Su guerra es “una justa guerra”. Las han llevado a extremos que se encuentran al borde de los acantilados, pero mantienen la vista en el horizonte y siguen con los pies en la tierra, a pesar de todas y cada una de las piedras del camino. Para todas…

Una «Marea Roja» de afectados por iDental se manifiesta este sábado por la tarde en Alicante

Los afectados por el cierre de las clínicas de iDental están convocados a asistir a la Manifestación-Jornada Informativa que tendrá lugar en Alicante el próximo sábado 6 de abril por las calles de Alicante, junto al apoyo Marea Blanca Comarques del Sud, salud pública universal y organizada por la plataforma de afectados iDental de Alicante. El recorrido de la manifestación denominada “Chalecos…

MADRID/ALICANTE, 11 Oct. (EUROPA PRESS) –

El juez de la Audiencia Nacional José de la Mata ha ordenado prisión provisional para el exdirectivo de iDental Luis Sans y otras tres personas detenidas ayer por el presunto desvío de fondos en el Instituto Odontológico Asociados (IOA) con el que habrían intentado poner en marcha un entramado fraudulento similar al de la clínica dental.

Según han…