Los depósitos de AWS expuestos nuevamente están implicados en múltiples filtraciones de datos


La falta de cuidado para configurar correctamente los entornos de nube se ha destacado una vez más por dos fugas de datos graves en el Reino Unido causadas por fugas Servicio de almacenamiento simple de Amazon (S3) cubo bases de datos

Como configuración predeterminada, Los cubos de Amazon S3 son privados y solo pueden acceder personas que hayan recibido acceso explícito a sus contenidos, por lo que su exposición continua apunta al hecho preocupante de que hay mensajes consistentes política de seguridad en la nube, la implementación y la configuración no llegan a muchos profesionales de TI.

La primera fuga se relacionó con varias firmas consultoras del Reino Unido. Esto fue descubierto por Noah Rotem y Ran Locar, investigadores de vpnMentor, quien descubrió información tales como escaneos de pasaportes, documentos fiscales, verificación de antecedentes, solicitudes de empleo, reclamos de gastos, contratos, correos electrónicos y detalles salariales relacionados con miles de consultores que trabajan en el Reino Unido.

Deberías leer:   Cómo las búsquedas en línea y los mensajes de texto pueden ponerlo en riesgo después de Roe v Wade

El propietario del cubo no asegurado no estaba claro, pero Rotem y Locar (que el año pasado revelaron un caso similar que afecta a millones de ciudadanos ecuatorianos) pudieron rastrearlo hasta una misteriosa compañía llamada CHS Consulting. La base de datos contenía datos de varias otras firmas consultoras, algunas de las cuales ahora han dejado de operar. La mayoría de los datos se recopilaron entre 2014 y 2015, aunque algunos archivos datan de 2011.


Después de la notificación a Amazon Web Services (AWS) y al Reino Unido Centro Nacional de Seguridad Cibernética (NCSC), la base de datos estaba asegurada el 19 de diciembre de 2019.

La segunda fuga fue de un cubo perteneciente a Fresh Film, una productora con sede en el Reino Unido, que se especializa en comerciales de televisión para marcas de salud y belleza.

De acuerdo a Veredicto, que informó por primera vez la historia, Fresh Films accidentalmente expuso datos sobre 40 actores que habían aparecido en un comercial de 2017 para la marca Dove de Unilever, así como detalles sobre el equipo de producción y los miembros del equipo.

Deberías leer:   Acuerdo de fusión de Trump amenazado por investigación criminal federal

Los puntos de datos personales expuestos incluyeron nombres, direcciones postales y de correo electrónico, números de teléfono, fechas de nacimiento y datos bancarios, así como escaneos de pasaportes y números de seguro nacional de algunos de los participantes.

Error del usuario la única explicación

Vale la pena repetir que los cubos de AWS son privados de forma predeterminada, por lo que, salvo los ataques dirigidos por ciberdelincuentes que utilizan, por ejemplo, técnicas de phishing o ingeniería social para ingresar a los sistemas de una empresa, en casos de cubos expuestos, su contenido solo puede revelarse por error o negligencia.

Rotem y Locar dijeron que estaba claro que si CHS había asegurado sus servidores, implementado reglas de acceso adecuadas y tomado más cuidado para garantizar que un sistema que no requiera autenticación no se dejara abierto al Internet público, esto podría haberse evitado. Lo mismo se puede inferir para aplicar a Fresh Film.

“Con la migración de una gran cantidad de datos a la nube para casos de uso como la minería de datos, y la falta de conocimiento de las mejores prácticas de seguridad en Azure y AWS, es muy sencillo equivocarse”

Sergio Lourerio, puesto avanzado24

Amazon proporciona instrucciones detalladas a los usuarios de AWS para ayudarlos a proteger los cubos S3 y mantenerlos privados. En el caso de CHS, la forma más rápida de corregir este error sería hacer que el depósito sea privado y agregar protocolos de autenticación, [to] seguir las mejores prácticas de acceso y autenticación de AWS, [and] agreguen más capas de protección a su segmento S3 para restringir aún más quién puede acceder a él desde cada punto de entrada ”, dijeron Rotem y Locar en su revelación.

Sergio Lourerio, director de seguridad en la nube en Puesto avanzado24, dijo: “Todavía estamos en los primeros días de la seguridad de la infraestructura de la nube y lo que estamos viendo es una prevalencia de ataques oportunistas, no muy sofisticados, como la búsqueda de depósitos de datos de AWS S3 de acceso público.

“Te sorprendería ver los datos que puedes encontrar allí simplemente escaneando datos colgantes en infraestructuras en la nube. Y solo toma un par de API [application programming interface] llama para hacerlo. Con una gran cantidad de datos que se migran a la nube para casos de uso, como la minería de datos, y la falta de conocimiento de las mejores prácticas de seguridad en Azure y AWS, es muy sencillo equivocarse “.

Pasos para remediar

Dean Sysman, CEO y cofundador de Axonius, una plataforma de gestión de activos de seguridad, dijo que era bastante fácil entender cómo las bases de datos almacenadas en la nube pública se filtran con tanta frecuencia.

“Muchas organizaciones inicialmente tienen la intención de que sus cubos S3 se usen únicamente para copias de seguridad, o han malinterpretado u olvidado verificar los permisos de autenticación. Desafortunadamente, es probable que veamos más de estas filtraciones en el futuro, ya que son increíblemente fáciles de encontrar a pesar de que son fáciles de evitar.

“Afortunadamente, los equipos de TI no tienen que esperar hasta una violación para resolver esto: para asegurarse de que estén protegidos, primero deben decidir la intención de la instancia de la nube y luego supervisar y hacer cumplir quién realmente puede acceder a los datos”. dijo Sysman.

Según Lourerio de Outpost24, parte de la solución es asegurarse de realizar evaluaciones continuas del riesgo de datos, algo que se puede automatizar fácilmente, y también ayudará a mitigar cualquier ataque de ransomware que llegue al sistema limitando la cantidad de el ransomware de datos puede encriptar. Los proveedores de la nube tienen herramientas para ayudar a los clientes a abordar el problema por sí mismos, y esto puede complementarse con servicios de gestión de la postura de seguridad en la nube y plataformas de protección de la carga de trabajo en la nube.

Jonathan Deveaux, jefe de protección de datos empresariales de Comforte AG, destacó pasos adicionales como activar el cifrado en bases de datos que contienen datos sensibles o de identificación personal.

“Tokenizar o cifrar los datos en sí mismos significa que no importa dónde se almacenen los datos: en una base de datos, en otra base de datos en la nube, en otro servidor en otra parte de la empresa, los datos siempre están protegidos de tal manera que la seguridad viaja con los datos “, dijo Deveaux.

Sin embargo, reconoció que esto creaba un dolor de cabeza adicional porque dichos datos obviamente tendrían que ser descifrados si se necesitaban de repente, una razón válida “algo” para dejar los datos expuestos.

Consecuencias graves

Robert Ramsden-Board, vicepresidente para Europa, Medio Oriente y África (EMEA) en Securonix, dijo que las consecuencias de la exposición de los conjuntos de datos podrían haber sido mucho más graves si los ciberdelincuentes lo hubieran encontrado, y no piratas informáticos éticos como Rotem y Locar.

Y, por supuesto, no hay nada que sugiera que los datos de las filtraciones de CHS o Fresh Films no hayan sido encontrados por ciberdelincuentes, ya pueden haber sido utilizados.

“Las consecuencias de seguridad y privacidad para aquellos cuyos datos han sido expuestos podrían ser geniales. Las personas corren un mayor riesgo de sufrir amenazas como el robo de identidad y las estafas de phishing “, dijo Ramsden-Board.

“Este puede ser uno de los primeros incidentes de datos de 2020, pero sigue un patrón muy similar al de numerosas filtraciones de datos en 2019. La práctica de la higiene cibernética básica es imprescindible para todas las organizaciones, especialmente aquellas en las que se confía nuestra información más confidencial, y en 2020, aquellos que no puedan proteger sus bases de datos deberían ser responsables ”, dijo.

“La práctica de la higiene cibernética básica es imprescindible para todas las organizaciones, y las que no pueden proteger sus bases de datos deben rendir cuentas”

Robert Ramsden-Board, Securonix

Peter Draper, director técnico de EMEA en Gurucul, agregó: “La situación del mundo digital actual es que se está cosechando un volumen creciente de información de identificación personal cada vez que interactuamos con organizaciones en línea.

“Las compañías legítimas pueden recopilar datos sobre nosotros de fuentes en todo Internet y luego combinar esos datos en perfiles detallados que luego pueden vender. Si estos datos no están bien protegidos, y a menudo no lo están, esta información puede terminar fácilmente en la web oscura “.

Censornet El director de tecnología Richard Walters agregó: “Las filtraciones de datos como esta suceden porque las empresas no tienen suficiente conocimiento o visibilidad de cómo se almacenan realmente sus datos en la nube, y es crucial que esto cambie.

“Desafortunadamente, la falta de responsabilidad hace que esto sea difícil: Amazon no puede revelar de quién es este almacenamiento, por lo que no sabemos qué organización es responsable. Sin embargo, eso no es excusa para que las empresas sean poco estrictas con la seguridad en la nube. Ellos y sus clientes pagarán el costo final de la pérdida de datos “.

Sin embargo, Deveaux de Comforte AG dijo que en el caso de la violación de CHS, responsabilizar a los responsables sería muy difícil.

“Lo que puede ser más revelador sobre este descubrimiento de datos confidenciales es que muchas de las empresas ya no están en el negocio”, dijo. “Si una de las personas se viera afectada negativamente por este descubrimiento de exposición de datos, y quisieran responsabilizar a alguien o alguna organización, ¿quién sería?

“Las políticas de la empresa con respecto a los datos deben garantizar que los datos confidenciales estén protegidos en todo momento, lo que minimizaría los incidentes de exposición de datos incluso si una empresa deja de operar”.

La naturaleza de la fuga de CHS hace que sea muy difícil saber exactamente quién puede rendir cuentas, o si serán responsables. Sin embargo, en el caso de Fresh Films, que tiene la obligación legal de informar a la Oficina del Comisionado de Información de su fuga, es casi seguro que habrá alguna forma de retroceso en virtud del Reglamento General de Protección de Datos (GDPR).

Pilar Benegas

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.