Las revelaciones de esta semana de incidentes separados de exposición de datos, mil millones de contraseñas que se muestran en texto sin formato, así como cientos de miles de solicitudes de certificados de nacimiento en los EE. UU.
Una epidemia en el último año, más o menos, de las organizaciones que dejaron inadvertidamente sus cubos de almacenamiento basados en la nube de Amazon World-wide-web Companies S3 y ElasticSearch y sin la seguridad adecuada, ha agregado una nueva dimensión a las violaciones de datos. Las organizaciones literalmente no están bloqueando sus servidores en la nube, los investigadores los están encontrando en masa, y es probable que los cibercriminales y el estado-nación también lo estén. El almacenamiento en línea mal configurado ha llevado a un aumento del 50% en los archivos expuestos este año durante 2018, según datos de Digital Shadows publicados en mayo.
«Los servicios en la nube son formas económicas de hacer cosas que hemos hecho costosamente durante años, por lo que tiene sentido por qué tantas personas están trasladando sus recursos a la nube. El problema es que todavía es demasiado fácil cometer errores que exponen todos sus datos a Online «, dice John Bambanek, vicepresidente de investigación e inteligencia de seguridad en ThreatStop.
El investigador de seguridad Bob Diachenko descubrió la semana pasada una foundation de datos masiva de ElasticSearch de más de 2.700 millones de direcciones de correo electrónico, de las cuales mil millones incluían contraseñas en texto sin formato. La mayoría de los dominios de correo electrónico robados eran de proveedores de Internet en China, como Tencent, Sina, Sohu y NetEase, aunque también había algunos dominios de correo electrónico de Yahoo, Gmail y Rusia. Se confirmó que los correos electrónicos robados que venían con las contraseñas formaban parte de una violación masiva anterior de 2017, cuando un proveedor de Dark Net los puso a la venta.
El servidor ElasticSearch estaba alojado en un servicio de colocación con sede en los EE. UU., Que el 9 de diciembre desmanteló el servidor después de que Diachenko lo informara. Había permanecido abierto y buscable, sin protección por contraseña, durante al menos una semana.
«En términos de números, esto es quizás lo más importante que he visto» en los registros expuestos, dice Diachenko, director de inteligencia de amenazas cibernéticas en SecurityDiscovery.com, que ha descubierto múltiples exposiciones de datos desde 2018, incluida una base de datos de 275 millones de registros personales. de ciudadanos indios en mayo pasado. «Lo interesante de (esta última) exposición specific es que se almacenó en un clúster público, y parecía que los datos se estaban (actualizando) en tiempo true».
Diachenko dice que no pudo verificar que cada correo electrónico fuera válido y activo, pero sí hizo referencias cruzadas con infracciones que había encontrado anteriormente. Él dice que es poco probable que muchas de las víctimas sean conscientes de la violación. «Las posibilidades de que estas cuentas de correo electrónico sigan siendo vulnerables son altas», dice, porque los usuarios de esa región a menudo no son alertados de una violación y los servicios para verificar compromisos de correo electrónico pueden ser bloqueados por el Gran Firewall de China. Se asoció con Comparitech para estudiar los datos expuestos.
No está claro con certeza quién estaba detrás de la foundation de datos (ciberdelincuentes o incluso investigadores de seguridad), pero de cualquier manera, la supervisión de la configuración fue un paso en falso de seguridad evidente. ElasticSearch ofrece opciones de seguridad, señala Diachenko, pero este ejemplo y otros son solo otro ejemplo de cuántas organizaciones ignoran o pasan por alto la seguridad del almacenamiento en la nube.
Una pista que encontró: los propietarios de la foundation de datos habían cifrado las direcciones de correo electrónico robadas con hashes MD5, SHA1 y SHA256 de cada dirección, lo que Diachenko cree que era para facilitar la búsqueda en la base de datos. «Mi mejor opción es que alguien acaba de comprarlo y estaba tratando de iniciar una base de datos de búsqueda porque no sé qué razones», dice. «Y ElasticSearch estaba mal configurado y se hizo público».
Otro cubo mal construido
Mientras tanto, los investigadores de Fidus Facts Safety, una empresa de pruebas de penetración con sede en el Reino Unido, descubrieron por separado casi 800,00 solicitudes en línea para copias de certificados de nacimiento de EE. UU. En un depósito de almacenamiento AWS S3 expuesto que pertenece a una empresa que proporciona un servicio para obtener copias de nacimiento y copias del certificado de defunción. El cubo no tenía protección con contraseña, por lo que la foundation de datos estaba abierta para cualquiera que la encontrara.
Curiosamente, el tesoro del depósito de almacenamiento de 94,000 solicitudes de copias de certificados de defunción no period accesible, según TechCrunch, que reportado esta semana que había verificado los registros de Fidus.
TechCrunch encontró que los datos incluidos en las solicitudes de registro de nacimiento, que datan de fines de 2017, van desde nombres, fechas de nacimiento, direcciones, direcciones de correo electrónico, números de teléfono y otros datos personales.
Andrew Mabbitt, director de Fidus, dice que su empresa encontró los datos mientras trabajaba en un proyecto AWS S3. «El depósito se configuró para un acceso legible mundial completo, lo que permite que cualquier persona con la URL obtenga una lista completa de todos los archivos», dice Mabbitt.
El servidor y los datos aún permanecen expuestos. «Nos pusimos en contacto con la compañía en numerosas ocasiones y no obtuvimos ninguna respuesta. Nos contactamos con el equipo de seguridad de Amazon AWS, quien nos agradeció el informe y dijo que lo pasarían al propietario del cubo», dice. «Supongo que esto se hizo, pero su correo electrónico al propietario también fue ignorado».
Los datos mal configurados y expuestos que se encuentran en Internet público están listos para el fraude y el robo de identidad. Los atacantes pueden usar direcciones de correo electrónico para phishing dirigido o usar información de identificación individual para hackear bancos u otras cuentas valiosas también.
Anurag Kahol, CTO de Bitglass, recomienda que las organizaciones se aseguren de que tengan pleno conocimiento y visibilidad de los datos del cliente. También aconseja que empleen handle de acceso en tiempo actual, cifrado de datos en reposo y que puedan detectar cualquier configuración de seguridad en la nube mal configurada.
Contenido relacionado:
Echa un vistazo a The Edge, la nueva sección de Darkish Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Seguridad 101: ¿Qué es un ataque de hombre en el medio?»
Kelly Jackson Higgins es la Editora Ejecutiva de Dark Reading. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Safe Enterprise … Ver biografía completa
Más suggestions
