Las implicaciones de la exposición de 1.2B de la semana pasada …



Grandes sumas de datos organizados, ya sean públicos o privados, valen su peso en oro para los cibercriminales.

A fines de la semana pasada, la industria de la seguridad se enteró de que un tesoro de datos públicos había sido expuesto en un servidor no seguro, comprometiendo 4 terabytes de información, o alrededor de 1.200 millones de registros.

La fuga fue descubierta por el investigador de seguridad Vinny Troia y primero reportado por Wired Todos los datos expuestos estaban disponibles públicamente: los perfiles de cientos de millones de personas incluían números de teléfonos móviles y de casa, perfiles de redes sociales relacionados (Fb, Twitter, LinkedIn, Github) e historias de trabajo aparentemente extraídas de los perfiles de LinkedIn. Troia encontró casi 50 millones de números de teléfono únicos y 622 direcciones de correo electrónico únicas, todas fácilmente accesibles en línea.

Dave Farrow, director senior de seguridad de la información en Barracuda Networks, se sintió consternado cuando escuchó por primera vez la mención de un incidente de seguridad la semana pasada. Una violación de datos significaría que su equipo tendría que movilizarse, dice, y en ese momento conocía poca información sobre el incidente. Farrow inicialmente adivinó que la noticia sería otro clúster Elasticsearch expuesto o un cubo de Amazon S3, un hecho bastante común que describe como «un error prominente y fácil de cometer».

Cuando supo más sobre la fuga de datos, Farrow se sintió aliviado. Los empleados y clientes que tiene la tarea de proteger «no estuvieron más expuestos ese día que el día anterior», dice. Si bien el enriquecimiento de datos lo hace «un poco incómodo», agrega, no hubo mucho cambio en la postura de seguridad para cualquiera cuyos datos fueron expuestos en la fuga.

Un incidente de seguridad que genera conversación generalmente implica una violación o exposición de datos comparativamente más sensibles. Pero este servidor desprotegido no almacenaba información de identificación private como los números de Seguro Social, ni contenía contraseñas o datos de tarjetas de pago. Entonces, ¿por qué la exposición de datos de acceso público hizo que la gente hablara?

La cantidad y el tipo de información expuesta, y la forma en que se organizó, podrían proporcionar a los cibercriminales las herramientas que necesitan para asumir otras identidades o lanzar ataques de phishing. Como dice Wade Woolwine, el principal investigador de inteligencia de amenazas de Swift7: «Los datos en conjunto siempre valen algo para alguien … grandes sumas de datos valen su peso en oro».

Usted está en venta
El servidor parecía contener cuatro conjuntos de datos separados. Tres fueron etiquetados para indicar que contenían datos de People today Info Labs, con sede en San Francisco, que afirma vender datos de contactos, currículums, sociales y demográficos para más de 1.500 millones de personas. Su sitio internet anuncia más de mil millones de direcciones de correo electrónico personales, 420 millones de URL de LinkedIn y mil millones de URL e ID de Fb.

El cuarto conjunto de datos fue etiquetado como «OXY», que se cree que contiene información del agente de datos Oxydata, dijo Troia a Wired. Su sitio web afirma vender información sobre más de 380 millones de profesionales de negocios, incluyendo información de contacto, perfiles sociales, industria y educación.

El enriquecimiento de datos es una práctica legal pero controvertida. «La industria existe con el propósito de influir en las personas y darle acceso a las personas a las que desea influir», dice Farrow, quien dice haber escuchado ambos lados del argumento. Por un lado, los empleados a menudo usan esta información para asegurarse de que no están enviando correos ni llamando en frío a las personas equivocadas. Podrían obtener la misma información en Fb o LinkedIn los agregadores de datos aceleran el proceso.

Al mismo tiempo, «se siente como una intrusión en nuestra privacidad», dice. Los ciberdelincuentes pueden usar estos datos filtrados para influenciar a las víctimas en su beneficio. Una fuga como esta les da a los atacantes acceso a información organizada y significativa, a diferencia de un amplio volcado de datos. Obliga a los afectados a pensar dos veces sobre en quién confían, sobre si un mensaje es legítimo o malicioso.

Además, existe una diferencia entre esta fuga de datos y otras violaciones de seguridad en las que se roban los números de tarjeta de crédito o las contraseñas. «En ese tipo de infracciones, hay un claro llamado a la acción», dice Farrow. «Las personas cuyos datos se filtran realmente necesitan salir y hacer algo». Las contraseñas robadas se pueden cambiar y se pueden reemplazar las tarjetas de crédito robadas. Cuando las personas ceden tantos datos personales a las plataformas tecnológicas, no hay mucho que puedan hacer sobre cómo se united states.

Responsabilidad de proteger los datos
Hay pasos que se pueden tomar para proteger estos datos. La pregunta es, ¿de quién es el trabajo?

«Cualquier compañía que tenga datos que podrían ser remotamente valiosos está potencialmente en riesgo de ser robados», dice Woolwine. «La situación empeora progresivamente a medida que aumenta la sensibilidad de los datos».

Hay ciertas empresas en las que la postura de seguridad del cliente tiene un impacto directo en la organización, y esto es cierto para los agregadores de datos, agrega Farrow. Sean Thorne, cofundador de Individuals Details Labs, dijo a Wired que los clientes son responsables de proteger los datos en sus servidores. Si bien la empresa realiza auditorías y consultas de seguridad gratuitas, no es responsable.

Woolwine sugiere que puede ser hora de que el gobierno se involucre para ayudar a la industria a avanzar en la implementación de sanciones por asegurar la información. «No creo que sin algún tipo de supervisión autorizada, los jugadores más pequeños puedan actuar juntos para asegurar esos datos», explica.

Mientras tanto, los profesionales de seguridad deben conversar con sus colegas de negocios sobre las mejores prácticas relacionadas con el manejo de datos. La mayoría de los profesionales de negocios saben que los datos confidenciales deben estar encriptados, dice, pero el proceso para manejar información menos crítica, como la expuesta en esta filtración, también debe evaluarse. Un escenario como este podría resultar perjudicial para la reputación de una empresa si los clientes se enteran de que sus datos se manejan mal o quedan expuestos en la Net.

«Un evento como este debería ser una llamada de atención para todos los que manejan datos confidenciales para asegurarse de que se coordinen con sus equipos de seguridad para garantizar que los controles que la mayoría de los equipos tienen la tarea de implementar se apliquen realmente, por lo que un accidente como este no suceda «, dice Farrow. «Hay buenas razones para protegerlo, y no hay buenas razones para exponerlo».

Contenido relacionado:

Kelly Sheridan es la Editora de own de Dark Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia first