Lectura oscura | Seguridad | Proteja el negocio



Las bases de datos no seguras basadas en la nube continúan amenazando los datos corporativos y de los consumidores, como lo indica una serie de informes esta semana que involucran incidentes en Cognyte, CVS y Wegmans.

La primera en aparecer en los titulares esta semana fue Cognyte, una empresa de análisis de ciberseguridad que dejó unos 5 mil millones de registros expuestos en línea y accesibles sin autenticación. Los datos formaban parte del servicio de ciberinteligencia de Cognyte, que alerta a las personas sobre exposiciones de datos de terceros y afirma tener más de 1000 clientes gubernamentales y empresariales en 100 países.

«Irónicamente, la base de datos utilizada para verificar que la información personal con violaciones conocidas estaba expuesta», escribió la firma de seguridad Comparitech en una publicación de weblog sobre el descubrimiento realizado por Bob Diachenko, quien lidera su equipo de investigación de seguridad y descubrió los datos el 29 de mayo. .Si la información de alguien estaba en esta foundation de datos, es posible que se le notifique de un compromiso de cuenta si una de sus contraseñas había sido violada antes, recibirían una alerta para cambiarla.

«La información incluía nombres, contraseñas, direcciones de correo electrónico y la fuente primary de la filtración», dijeron los investigadores de los datos expuestos, señalando que no todas las infracciones de las que se obtuvieron los datos incluían contraseñas sin embargo, no pudieron determinar un porcentaje exacto que lo hizo. Todos los datos se almacenaron en un clúster de Elasticsearch.

Esta foundation de datos fue indexada por motores de búsqueda el 28 de mayo al día siguiente, Diachenko lo encontró y alertó a Cognyte, que aseguró los datos el 2 de junio. Se desconoce si otros terceros accedieron a la información durante la ventana cuando estuvo expuesta, o por cuánto tiempo estuvo expuesta antes de ser indexada, investigadores informó en su 14 de junio entrada en el website.

Unos días después, el investigador de seguridad Jeremiah Fowler y el equipo de investigación de WebsitePlanet revelaron su descubrimiento de una foundation de datos no protegida por contraseña que contiene más de mil millones de registros conectados a CVS Well being, una corporación que también posee
CVS Pharmacy, CVS Caremark y Aetna.

Los investigadores enviaron un aviso de divulgación responsable a CVS Health and fitness, que revocó el acceso público el mismo día. También confirmó que este conjunto de datos fue administrado por un contratista o proveedor que operaba en nombre de CVS Health sin embargo, no se revelaron detalles sobre el proveedor.

La foundation de datos de 204 GB contenía datos agregados y de eventos, incluidos registros de producción que exponían la identificación del visitante, la identificación de la sesión y la información del dispositivo, por ejemplo, si los visitantes del sitio usaban Apple iphone, iPad o Android. Los archivos expuestos también dieron «una comprensión clara de los ajustes de configuración, dónde se almacenan los datos y un plano de cómo funciona el servicio de registro desde el backend», dijo Fowler. en un informe
de los hallazgos.

Los registros expuestos también revelaron las consultas de búsqueda de las personas: «En este caso, estos eran registros de búsqueda de todo lo que buscaban los visitantes y contenían referencias tanto a CVS Wellness como a CVS.com», escribió Fowler.

En su investigación, vio varios registros que indican que las personas buscaron medicamentos, vacunas COVID y otros productos CVS. También contenían direcciones de correo electrónico, que CVS confirmó que no provenían de los registros de la cuenta del cliente, sino que las personas las ingresaron en la barra de búsqueda. Al revisar el sitio CVS móvil, dijo que es posible que los visitantes creyeran que estaban iniciando sesión en su cuenta pero ingresando su dirección de correo electrónico en la barra de búsqueda.

Señaló que pudo identificar a algunas personas al buscar en Google su dirección de correo electrónico expuesta públicamente. «Hipotéticamente, podría haber sido posible hacer coincidir el ID de sesión con lo que buscaron o agregaron al carrito de compras durante esa sesión y luego tratar de identificar al cliente usando los correos electrónicos expuestos», escribió Fowler. Dicho esto, la identificación del visitante y la identificación de la sesión por sí solas no contenían datos identificables solo podían identificar a un usuario con la dirección de correo electrónico de esa persona.

Si bien el seguimiento de la actividad de los sitios website y las plataformas de comercio electrónico puede proporcionar información valiosa, también puede contener metadatos o registros de errores que exponen datos más confidenciales. Recomendó que las búsquedas de bloques CVS que coincidan con patrones de direcciones de correo electrónico o nombres de dominio se ejecuten o registren, lo que podría ayudar a evitar que se recopilen o almacenen datos no deseados.

Al cerrar la semana, la cadena de supermercados Wegmans reveló que dos de sus bases de datos en la nube, ambas utilizadas con fines comerciales y destinadas a mantenerse internas, se dejaron accidentalmente abiertas al acceso externo «debido a un problema de configuración no descubierto anteriormente», dijeron las autoridades. dijo en un comunicado. El problema se confirmó alrededor del 19 de abril y se corrigió poco después, informan.

Las bases de datos contenían información del cliente, incluidos nombres, direcciones, números de teléfono, fechas de nacimiento, números de Consumers Club y direcciones de correo electrónico y contraseñas utilizadas para acceder a las cuentas de Wegmans.com. Wegmans confirmó que todas las contraseñas fueron hash y saladas, por lo que los caracteres reales de la contraseña no estaban en las bases de datos.

Un problema constante y peligroso
El riesgo de bases de datos desprotegidas no es una novedad para los equipos de seguridad. De hecho, más
y más
de estas ocurrencias
han estado en los titulares
en años recientes. Pero, ¿por qué son tan comunes, incluso cuando las organizaciones se dan cuenta de ellos?

«Los proveedores de servicios en la nube brindan un entorno complejo y altamente configurable», dice PJ Norris, ingeniero de sistemas senior de Tripwire, y las empresas deben tener el personalized capacitado para configurarlos de manera segura. Aquellos con múltiples proveedores de nube, una tendencia creciente, deben tener empleados que comprendan que los principales proveedores de nube están configurados de diferentes maneras. Las evaluaciones de la configuración de la nube son otro paso clave que no necesariamente se emprende, agrega, y aconseja a las empresas que realicen auditorías y revisiones periódicas de los entornos públicos.

Estos problemas suelen ser casos de configuraciones erróneas simples que pasan desapercibidas o no se abordan con la suficiente rapidez, dice Eric Kedrosky, CISO y director de investigación de Sonrai Safety. La mayoría de las empresas que mueven datos a la nube carecen de la visibilidad que necesitan para saber cuándo están en riesgo.

«A menudo hay muchos equipos diferentes involucrados en la nube de una organización y hay diferentes niveles de conocimiento de seguridad», explica. Cuando se encuentran estos problemas, dice, a menudo se envían a los lugares equivocados para su reparación o no se tratan rápidamente. Siguiendo la metodología de «cambio a la izquierda», estos problemas deben enviarse al equipo que cometió el error.



Enlace a la noticia primary