Fuga de datos profesional: ¿cómo obtuvo ese proveedor de seguridad mis datos personales?


… y ¿por qué lo venden a otros proveedores de seguridad y probadores de productos?

Si esperabas encontrar una historia sensacional sobre uno de nuestros competidores, te decepcionaré de inmediato. ¡Esto no es eso, pero es algo, algo que nos puede pasar a todos!

El spam es algo que todos encuentran.

Los spammers buscan constantemente nuevas formas de llevarte su basura, evitando tus filtros de spam.

Hasta ahora, esto no es diferente de cualquier otro juego de gato y ratón en ciberseguridad. Aunque hay algunas soluciones antispam extremadamente buenas disponibles, incluso las mejores se omiten de vez en cuando, y necesitarán adaptar sus conjuntos de reglas para protegerse contra las últimas técnicas de spam.

Al igual que con los productos antimalware, los productos antispam se incluyen en pruebas comparativas realizadas por varios probadores independientes y objetivos. La prueba es un negocio lucrativo para las organizaciones de prueba y costoso para los proveedores de seguridad que se están probando, por lo que no debería sorprendernos que estos proveedores quieran lograr los mejores resultados.

Eso por sí solo crea un nuevo modelo de marketing: vendedores comerciales que intentan vender feeds de muestras de spam tanto a los probadores como a los vendedores de seguridad. Se podría argumentar que los vendedores de antispam dispuestos a comprar los alimentos (o consumir libremente un alimento si el proveedor quiere, por razones comerciales o de otro tipo, que su alimento se vea importante) tendrán una ventaja injusta con quienes prueban sus productos, pero eso no es El alcance de este web site.

Recientemente, ESET se enfrentó a un probador que comenzó a consumir una nueva fuente de spam comercial para complementar su banco de pruebas antispam existente.

Cuando yo y otros investigadores de ESET comenzamos a analizar esa alimentación, nos quedamos asombrados. No solo porque las muestras en el feed de spam comercial no se clasificaron (¿quién come to a decision qué es jamón o spam? ¿Puedes leer todos los idiomas para determinar eso?), Sino también por la alta relación de ruido, había muchos mensajes legítimos, es decir, eran «jamón», no ¡correo no deseado! Además de eso, al analizar esos mensajes no deseados, encontramos muchos con información own (y personalmente identificable) así como confidencial: imágenes (personales), copias de licencias de conducir, información de tarjeta de crédito, etcetera. ¿Cómo terminaron estos correos electrónicos legítimos en una fuente de «spam»?

La clave aquí es Dominios aparcados y Dominios hundidos. En un nivel básico, estos últimos son dominios que generalmente están bajo el control de los servicios anti-DDoS, las fuerzas del orden o los investigadores para que sus operadores puedan aliviar o monitorear la actividad maliciosa o maliciosa, generalmente dirigiendo (algunos) el tráfico de crimson para estos dominios al depósito de bits o a sistemas bajo su handle. Los dominios aparcados son dominios que las personas registran, por lo typical con fines poco legítimos, con nombres de dominio que le dan al usuario la notion de que van a un sitio supuestamente legítimo, p. my-financial institution-new-card (.) com. O bien, los dominios se parecen mucho a los dominios legítimos, pero están lejos de ser un mistake tipográfico, a menudo se hace referencia como dominios con Typosquatted, como p. Ej. oulook (.) com en lugar de outlook (.) com. A veces, como en los casos de fraude, esto se hace, por ejemplo, se puede enviar spam de phishing con URL aparentemente legítimas en otras situaciones, para recopilar correos electrónicos / datos de personas que hacen un mistake tipográfico en una dirección de correo electrónico. Tales estafas suelen ser de corta duración, por lo que los delincuentes detrás de ellos registran estos dominios durante solo 12 meses (el mínimo habitual) y no renuevan su registro. Poco después de que caduque el registro, cualquiera puede (re) registrar dicho nombre de dominio, instalar un servidor de correo electrónico para él y comenzar a recopilar todo el correo electrónico enviado al dominio, tanto spam como mensajes de correo electrónico legítimos destinados al dominio correcto y authentic.

El proveedor de la fuente de spam mencionada anteriormente recopila todos los correos electrónicos enviados a los dominios estacionados y sumideros y los proporciona a los proveedores y probadores de seguridad.

Por supuesto, nadie puede evitar que las personas envíen correos electrónicos con información privada y confidencial a la dirección de correo electrónico incorrecta, como la que se encuentra en un dominio de tipo tyquatted, que no sean los propios remitentes. Para ser honesto, ni siquiera se puede culpar a nadie por hacer esto, ya que tenían la intención de enviar esa información a la dirección correcta … ¡y probablemente pensaron que se envió correctamente ya que no recibieron un mensaje de rebote!

Sin embargo, la ética de vender un feed de spam que incluye dichos mensajes «como spam» es dudosa, ya que esos mensajes son claramente no todo el spam

¿Qué es el spam? Una definición común es el correo electrónico masivo, no solicitado, que generalmente es de naturaleza comercial. A granel: no diga más, estos mensajes no se envían a granel. Casi todos se envían solo una vez y a una sola dirección (bueno, tal vez dos direcciones: la original y la correcta una vez / si el remitente se da cuenta del error). Sí, no es solicitado en un sentido, pero eso por sí solo no lo convierte en spam, y posiblemente cualquier persona que configure servidores de correo en dichos dominios para recopilar todos los correos electrónicos recibidos solo lo está haciendo porque ellos son solicitando exactamente ese correo electrónico, es decir, querer recibir estos mensajes, para que no sean realmente no deseados o no solicitados.

Además de este problema técnico de estos mensajes que simplemente no son spam, crea un problema ético y ethical. Los propietarios de estos dominios estacionados seguramente no han obtenido el consentimiento de los remitentes originales para usar o vender sus mensajes de correo electrónico, ciertamente no aquellos con información privada y confidencial, para este propósito. En la medida en que estos feeds incluyan los mensajes enviados por los residentes de la UE, proporcionar un feed con la ausencia de elementos clave del procesamiento de datos «legalidad, equidad y transparencia» parece ser una violación de GDPR. También tenemos curiosidad sobre el cumplimiento de otros principios relacionados con el procesamiento de datos personales, como el propósito y la limitación de almacenamiento, así como la confidencialidad de los datos que se incluyen en las políticas de privacidad y retención de datos de este proveedor de feeds.

Cuando un probador usa dicho alimento como parte de su banco de pruebas, el problema se agrava.

Para fines de validación, los probadores de buena fe suministran «fallas» a los productores del software program que prueban, para confirmar las fallas. En ese momento, los desarrolladores de antispam recibirán (y así almacenarán) las muestras de «spam» perdidas. Sin los fundamentos legales adecuados, cualquier actividad que no sea la eliminación y la notificación al probador y al proveedor de feeds podría dar lugar a una violación del RGPD, independientemente de la ubicación del almacenamiento o las oficinas del desarrollador del producto.

Además, estas muestras «perdidas» pueden causar problemas para el producto antispam de un proveedor. Los algoritmos de aprendizaje automático (ML) se usan ampliamente en productos antispam, y es possible que agregar tales mensajes legítimos a su conjunto de «spam» haga que cualquier clasificación basada en ML de mensajes de correo electrónico no vistos anteriormente sea menos precisa, lo que pone a los clientes de productos antispam en mayor riesgo . Almacenar este tipo de datos en realidad no es algo que queramos. Al realizar este descubrimiento, ESET eliminó de nuestra foundation de datos de spam todas las muestras obtenidas de este feed.

ESET, por supuesto, contactó al probador, que eliminó rápida y correctamente la alimentación de la prueba genuine, mientras investigaba nuestros hallazgos. Más tarde, el probador nos informó que el alimento había sido investigado, nuestros hallazgos confirmados y que había descartado completamente este alimento de prueba.

El proveedor del alimento comercial también ha sido contactado al momento de la publicación no se había recibido respuesta.

Dejando a un lado todos los consejos de seguridad, no hay remedio para evitar este tipo de fuga de datos que no sea el sentido común: verificar la dirección de correo electrónico dos veces y luego dos veces más antes de enviarle datos confidenciales. No solo para estar seguro de que no cometió un mistake tipográfico, sino también para asegurarse de que la dirección de correo electrónico todavía esté en uso por la organización a la que envía los datos. Las herramientas como 2FA, una bóveda de contraseñas, etcetera., son inútiles en este escenario porque, a pesar de su capacidad para proteger su identidad, no pueden protegerlo de enviar correos electrónicos a la dirección incorrecta.








Enlace a la noticia original