Pasaportes británicos expuestos en un servidor de AWS sin protección


¿A quién culpar? El contenedor S3 de Amazon Web Services sin protección contenía escaneos de pasaportes y otros datos personales confidenciales, pero el culpable aún no se ha identificado.

Los detalles del pasaporte de miles de ciudadanos británicos se han visto comprometidos en la última violación de datos en el servicio en la nube de Amazon, pero el culpable aún no se ha identificado.

El almacén de datos de Amazon Web Services (AWS) S3, un denominado "depósito", estaba mal configurado y, por lo tanto, desprotegido (los depósitos de AWS están protegidos de forma predeterminada), un hecho descubierto por los investigadores de seguridad de vpnMentor, Noam Rotem y Ran Locar.

El paquete contenía datos personales de varias firmas de consultoría británicas y sus departamentos de recursos humanos. La información incluyó escaneos de pasaportes, solicitudes de empleo y documentos fiscales, todos los cuales son altamente sensibles.


Contenedor expuesto


Según los investigadores, los datos provienen de Dynamic Partners (cerrado en 2019); Eximius Consultants Ltd, Garraway Consultants (cerrado en 2014), IQ Consulting, Partners Associates Ltd (cerrado en 2018) y Winchester Ltd (cerrado en 2018).

La mayoría de los datos expuestos provienen de 2014-2015, pero algunos archivos se remontan hasta 2011, advirtieron los investigadores.

La información típica encontrada incluyó miles de escaneos de pasaportes; documentos fiscales; solicitudes de empleo; comprobantes de domicilio; extensas verificaciones de antecedentes; antecedentes penales; gastos y formularios de beneficios; documentos relacionados con impuestos comerciales y HMRC; contratos escaneados con firmas; información salarial para una variedad de roles y puestos; correos electrónicos, mensajes privados; y mucho más.

Este tesoro de datos reveló, por ejemplo, nombres completos, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, detalles salariales y registros financieros de la compañía, por nombrar solo algunos.

“Si bien el propietario de la base de datos no estaba inicialmente claro, estaba etiquetado como 'CHS', señalaron los investigadores. “Remontamos esto a CHS Consulting, una firma de consultoría con sede en Londres. Sin embargo, como la compañía no tiene un sitio web, no podemos confirmar su propiedad de la base de datos ".

"Mientras tanto, también nos pusimos en contacto directamente con AWS y CERT-UK, el equipo de respuesta a emergencias informáticas del país, responsable de supervisar y manejar la seguridad de los datos en el Reino Unido", escribieron. "Para el 19 de diciembre, la violación había sido cerrada y la base de datos asegurada".

Esta no es la primera vez que se descubren datos confidenciales mal configurados (y, por lo tanto, desprotegidos) en la nube de Amazon.

En 2017, por ejemplo, los investigadores encontraron un contenedor de AWS del ejército de EE. UU. Que contenía "datos críticos" pertenecientes al ejército de EE. UU.

Se considera que esos datos son tan confidenciales que ni siquiera se puede compartir con aliados de los Estados Unidos, pero se encontraron en la imagen virtual del disco duro que estaba en un servidor AWS, todo sin protección de contraseña.

Comentarios de los expertos


El descubrimiento de otro grupo de AWS expuesto desencadenó una gran cantidad de respuestas de expertos en seguridad.

"El reciente compromiso de los datos del pasaporte británico es una prueba contundente de que las violaciones de datos no tienen que ser intencionales para ser dañinas", dijo Max Heinemeyer, director de caza de amenazas en Darktrace.

"En un clima de divisiones posteriores al Brexit, un compromiso de este tipo podría ser particularmente calamitoso", dijo Heinemeyer. "Con los datos de los pasaportes al alcance de la mano, los estafadores podrían aprovechar la oportunidad para lanzar ataques de seguimiento alrededor del Brexit, utilizando las credenciales para elaborar correos electrónicos de phishing hiperrealistas bajo el disfraz de las preocupaciones que rodean a la ciudadanía".

"Todas las configuraciones necesarias para mantener actualizados los sistemas en la nube, SaaS, BYOD y OT son abrumadores y superan a los equipos de seguridad", dijo Heinemeyer. "Ahora más que nunca, es crucial que recurramos a la IA para hacer el trabajo pesado por nosotros".

Otro experto también señaló la naturaleza especialmente sensible de los datos que han sido expuestos.
"Otro día, otro segmento de AWS no seguro, y los datos en este no podrían ser más sensibles", señaló Richard Walters, CTO de Censornet. “Los archivos descubiertos por los investigadores incluyen pasaportes, solicitudes de empleo, documentos fiscales, verificación de antecedentes y contratos escaneados. Esencialmente, cada detalle personal que un criminal podría necesitar para llevar a cabo un robo de identidad, todo dejado en una base de datos no segura en línea”.

"Recuerde, solo escuchamos sobre bases de datos abiertas en las noticias cuando los investigadores de seguridad las encuentran (los delincuentes no anuncian que han encontrado un tesoro de información), pero es mejor que crean que están ahí buscándolas". dijo Walters.

"Esto no es culpa de Amazon, que tiene medidas de seguridad para su almacenamiento de AWS", dijo Walters. “De hecho, debe deshabilitar las medidas de seguridad predeterminadas para dejar una base de datos abierta de esta manera. Se producen filtraciones de datos como esta porque las empresas no tienen suficiente conocimiento o visibilidad de cómo se almacenan realmente sus datos en la nube, y es crucial que esto cambie. Desafortunadamente, la falta de responsabilidad hace que esto sea difícil: Amazon no puede revelar de quién es este almacenamiento, por lo que no sabemos qué organización es responsable ”.

Otro experto estuvo de acuerdo sobre la necesidad de configurar correctamente las bases de datos en la nube.

"El riesgo asociado con los recursos de la nube configurados incorrectamente ha sido destacado muchas veces por muchas personas", explicó Peter Draper, director técnico, EMEA en Gurucul. "El contenido de la base de datos parece tener más información que la mayoría de las bases de datos no seguras informadas y contiene una gran cantidad de información que los malos actores podrían utilizar para el fraude y el robo de identidad".

"Por favor, si ejecuta algún servicio en la nube, haga que sus equipos verifiquen doble y triplemente que estén asegurados correctamente", dijo Draper.

Otro experto señaló que este podría ser uno de los primeros incidentes de violación de datos realmente notables en lo que va de 2020.

"Dada la naturaleza sensible de la información expuesta en esta filtración, si esta base de datos hubiera sido descubierta por piratas informáticos criminales, las consecuencias de seguridad y privacidad para aquellos cuyos datos habían sido expuestos podrían ser devastadoras", dijo Robert Ramsden Board, vicepresidente de EMEA en Securonix.

"Este puede ser uno de los primeros incidentes de datos de 2020, pero sigue un patrón muy similar al de numerosas filtraciones de datos en 2019", dijo la Junta de Ramsden. "La práctica de la higiene cibernética básica es una necesidad para todas las organizaciones, particularmente aquellas en las que se confía con nuestros datos más confidenciales, y en 2020 aquellas que no puedan asegurar sus bases de datos deberían ser responsables".

Mientras tanto, otro experto advirtió a las personas asociadas con las consultoras nombradas que tomen precauciones adicionales.

"Cualquier persona que tenga una relación con la firma consultora cuyos datos se hayan dejado expuestos en la base de datos encontrada debe tomar medidas preventivas para evitar ser víctima de una estafa, como estar pendiente de los correos electrónicos que provienen de remitentes desconocidos y evitar hacer clic en los enlaces y archivos adjuntos que incluyen "No lo reconozca", explicó Corin Imai, asesor de seguridad senior de DomainTools.

"A su vez, las organizaciones que almacenan datos en la nube deben asegurarse de comprender su papel en la protección: los proveedores de la nube son responsables de la seguridad de la nube, pero los clientes aún están a cargo de proteger lo que eligen almacenar en ella", dijo Imai.
Y finalmente, otro experto advirtió que este tipo de exposición de datos en la nube desafortunadamente no es una ocurrencia poco común.

"Hoy, todavía estamos en los primeros días de la seguridad de las infraestructuras de la nube y lo que vemos es una prevalencia de ataques oportunistas, no muy sofisticados, como la búsqueda de servidores de datos de AWS S3 de acceso público", dijo Sergio Lourerio, director de seguridad de la nube en Outpost24 .

"Se sorprendería de ver los datos que puede encontrar allí simplemente escaneando datos colgantes en infraestructuras en la nube", dijo Lourerio. “Y solo toma un par de llamadas API para hacerlo. Con una gran cantidad de datos que se migran a la nube para casos de uso, como la minería de datos, y la falta de conocimiento de las mejores prácticas de seguridad en Azure y AWS, es muy sencillo equivocarse”.

Lourerio dijo que los proveedores de la nube como AWS, Azure y GCP están lanzando herramientas para que los clientes puedan abordar este problema. Esas herramientas pueden complementarse con soluciones de gestión de la postura de seguridad en la nube y plataformas de protección de la carga de trabajo en la nube.

Fuente: Silicon.com.uk

Publicar un comentario

0 Comentarios