O grupo de hackers Lizard Squad reivindicou a autoria do ataque que derrubou a PlayStation Network e Xbox Live durante o Natal, e depois passou a oferecer ataques DDoS como um serviço pago. Aí alguém hackeou os hackers, expondo detalhes sobre os clientes deles – e sobre o dinheiro que eles receberam.

O “Lizard Stresser” permite desencadear um ataque DDoS para ver se os servidores aguentam o fluxo de tráfego. O Lizard Squad dizia que este serviço não é uma ferramenta para ser usada de forma maliciosa, mas ele teoricamente poderia ser mirado contra qualquer site.

Além disso, ele era bastante vulnerável. O Lizard Stresser deixou todos os dados dos seus 14.000 clientes em texto simples, sem criptografia. O especialista em segurança Brian Krebs obteve uma cópia do banco de dados, e mostrou que os detalhes pessoais dos usuários estão à vista de todos.

lssupport
Solicitações de suporte feitas por usuários do LizardStresser

Algumas centenas destes clientes pagaram entre US$ 6 e US$ 500 na moeda virtual bitcoin para realizar ataques DDoS feitos sob medida. No total, o Lizard Squad recebeu US$ 11 mil em pagamentos.

Mas se eles não mantiveram seguros nem os próprios dados internos, será que a carteira bitcoin deles está a salvo? Bem, eles estão se exibindo no Twitter:

Krebs acredita que os dois principais membros do Lizard Squad são Julius Kivimäki, 16, da Finlândia; e Vinnie Omari, 22, do Reino Unido. Omari foi detido no final do ano por “acesso não autorizado a computadores com intenção de cometer outros crimes”, mas foi solto.

Além disso, um rapaz de 18 anos foi detido esta semana no Reino Unido: Jordan Lee-Bevan, conhecido como “Jordie”, “EvilJordie” e “GDKJordie”. Ele faria parte do Lizard Squad e teria participado dos ataques DDoS à PSN e Xbox Live. [Krebs on Security via The Guardian]

Imagem por gualtiero boffi/Shutterstock