La aparente incapacidad de las organizaciones para proteger correcta y apropiadamente los datos que tienen en las instancias de almacenamiento en la nube se ha vuelto dolorosamente obvia con la exposición de millones de registros por parte de Prestige Software, un proveedor de servicios de software de gestión de canales para la industria de viajes en línea.
Los usuarios de algunos de los sitios web de venta minorista de viajes más populares del mundo, incluidos Booking.com, Expedia y Hotels.com, deben estar en guardia después de que Prestige no configurara adecuadamente un depósito de AWS Simple Storage Service (S3) que dejó expuestos datos de 10 años atrás. a la Internet pública.
Fue revelado el 6 de noviembre de 2020 por investigadores de Website Planet y totalizó 24,4 GB de datos, que comprenden al menos 10 millones de archivos.
Los puntos de datos incluidos en el volcado incluyen los detalles de la tarjeta de crédito de los viajeros y agentes de viajes, incluido el importante código CVV, detalles de pago, detalles de reserva e información de identificación personal (PII), incluidos nombres, direcciones de correo electrónico, números de identificación nacional y números de teléfono. .
Website Planet dijo que el depósito todavía estaba en uso y que se cargaban constantemente nuevos registros, y aunque se aseguró a las pocas horas de que el equipo de investigación se puso en contacto con AWS, es imposible decir que no se había accedido a la base de datos o que no la habían robado.
Seguro por defecto
Los buckets de AWS S3 son seguros de forma predeterminada, por lo que, en ausencia de un ataque dirigido por un ciberdelincuente, que no necesariamente puede descartarse en este caso, su contenido solo puede revelarse por error o negligencia por parte de Prestige Software. Además, AWS proporciona información detallada sobre cómo mantener seguros los buckets de S3.
Esto plantea la pregunta de por qué tales violaciones son tan cómicamente comunes; de hecho, según el CEO de Sonrai Security, Brendan Hannigan, las configuraciones incorrectas son la causa número uno de una violación de la nube pública. Pero, agrega, las razones de esto son quizás algo comprensibles.
“La creciente complejidad, especialmente en lo que respecta al acceso a la identidad y los datos, está provocando errores humanos y una exposición no intencionada”, dijo Hannigan.
“Hemos descubierto una exposición de datos errónea y no intencionada al incorporar nuevos clientes con muchos conjuntos de datos que contienen PII. Esto significa que las filtraciones de datos, como un depósito S3 expuesto, son solo la punta del iceberg «.
El ingeniero senior de seguridad de Synopsys, Boris Cipot, comentó: “La tecnología en la nube está ayudando a las organizaciones de muchas maneras a ser mejores, más rápidas y más avanzadas en sus operaciones. Sin embargo, los procesos para mantener esta tecnología también deben considerarse una prioridad.
“La introducción de tecnologías en la producción debe ir acompañada de comprobaciones exhaustivas para garantizar que los datos estén debidamente protegidos. Si bien estas comprobaciones inicialmente pueden llevar mucho tiempo, son necesarias para evitar problemas en el futuro «.
Centrado en los datos, centrado en la privacidad
Warren Poschman, arquitecto senior de soluciones de comforte AG, dijo que aunque el incidente podría haberse mitigado aceptando los permisos predeterminados de AWS S3 para denegar el acceso, la raíz del problema era que muchas organizaciones están jugando a la ruleta con datos en vivo, cuando deberían hacerlo. utilizar un modelo de seguridad centrado en los datos que permita proteger los datos a medida que se adquieren y viajan por la organización, independientemente de dónde se almacenen o accedan a ellos.
«La protección centrada en los datos mediante tecnologías como la tokenización permite a la organización utilizar los datos protegidos para las operaciones diarias, el análisis y el intercambio de datos», dijo Poschman. «En este caso, podría haber significado evitar una infracción por completo porque el segmento S3 solo habría contenido datos seguros y sin identificación».
El CEO y cofundador de Metomic, Rich Viber, también se pronunció a favor de la tokenización como un elemento crítico de una cultura centrada en la privacidad.
“Es frustrante que esto se haya podido evitar de manera fácil y asequible adoptando una cultura de privacidad primero”, dijo. “Por ejemplo, introducir tecnología para detectar y tokenizar la información de identificación personal que expusieron, por lo que habría sido ilegible.
“Las empresas como Prestige Software deben dejar de pensar en la privacidad como una casilla de verificación legal y contractual. En su lugar, deben verlo como un medio para erradicar las violaciones de datos, de modo que puedan mantener la confianza del cliente y tener el poder de los datos, sin el riesgo «.
Exposición a terceros
Para la base de clientes de Prestige de empresas de viajes en línea, el incidente volverá a poner de relieve preguntas sobre la responsabilidad de la seguridad en la nube y la sabiduría de confiar a terceros con datos valiosos, como también demostró la respuesta fallida del proveedor de software Blackbaud a un incidente de ransomware a principios de 2020.
“La violación de los datos de Prestige Software es tan desafortunada, especialmente como resultado de una configuración incorrecta”, dijo el CEO de Gurucul, Saryu Nayyar. «Trabajar con proveedores externos plantea una serie de desafíos, incluido asegurarse de que mantengan el mismo nivel de seguridad cibernética que requiere su propia organización».
Las verdaderas victimas
Las verdaderas víctimas del error de Prestige son, por supuesto, no sus clientes, sino los clientes de sus clientes, potencialmente muchos millones de consumidores que ahora, sin tener la culpa, corren un mayor riesgo de verse comprometidos por los ciberdelincuentes.
El experto en privacidad digital de ProPrivacy, Ray Walsh, dijo que los números afectados podrían ser mucho más altos de lo que se divulga actualmente.
“Los ciberdelincuentes podrían haber accedido a millones de datos de personas, incluidos los detalles de las tarjetas de crédito”, dijo. “Cualquiera que haya hecho una reserva de hotel con estas importantes plataformas de reserva de hoteles desde 2013 está potencialmente en riesgo.
«Es vital que Prestige Software y las plataformas de reserva de hoteles involucradas actúen rápidamente para determinar qué consumidores se vieron afectados, de modo que puedan ser contactados y decirles que cancelen sus tarjetas y examinen de cerca sus cuentas en busca de signos de intrusión».
Cipot de Synopsys estuvo de acuerdo en que si se accedía a la base de datos mientras era pública, los consumidores se enfrentarían a las repercusiones más dañinas. Dijo que anticipó que los actores malintencionados intentarían comprometerlos al intentar infiltrarse en otras cuentas y servicios vinculados y realizar ataques de phishing, así como también llevar a cabo fraude de tarjetas de crédito y robo de identidad.
«No podemos estar seguros de que los malos actores aún no hayan obtenido acceso a estos datos», agregó. “Pero hay algunas cosas que los usuarios potencialmente afectados pueden hacer para reducir proactivamente su riesgo y, a su vez, mejorar su seguridad en el futuro.
“Primero, los usuarios deben cambiar su contraseña en el sitio, así como en cualquier otro servicio en línea donde pueda haber sido reutilizado. Vale la pena emplear un administrador de contraseñas si está abrumado por la cantidad de servicios utilizados y las demandas regulatorias de contraseñas seguras.
“En segundo lugar, tenga cuidado con cualquier correo electrónico que solicite datos personales como contraseñas, nombres de usuario, números de seguro social o datos financieros. Los proveedores de servicios nunca solicitarían tales datos por correo electrónico o incluso por teléfono. En caso de duda, llame a su proveedor de servicios o visite su página web directamente e inicie sesión a través del sitio. Es fundamental que no abra archivos adjuntos ni haga clic en enlaces en correos electrónicos.
«Por último, hable con su banco de forma proactiva, infórmeles que ha utilizado un servicio que ha filtrado sus datos y verifique sus extractos bancarios con regularidad para detectar actividades sospechosas».
Consecuencias legales
Como empresa española sujeta al Reglamento General de Protección de Datos (RGPD) de la UE y que posee datos sobre ciudadanos europeos, Prestige Software necesitaba informar de la infracción, porque no hacerlo provocaría acciones legales y multas enormes, dijo el investigador de Website Planet, Mark Holden.
Y la empresa tiene más problemas por delante en términos de cumplimiento financiero, dijo Walsh de ProPrivacy.
“Ahora es necesario realizar una investigación completa para que se pueda tomar una decisión sobre si Prestige Software violó el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), como resultado de lo cual es posible que deba despojarse de su capacidad para procesar pagos con tarjeta en nombre de las empresas con las que trabaja ”, dijo.