ABBYY filtra 203 mil documentos de clientes en el servidor de MongoDB

Información sensible ha sido comprometida

ABBYY, empresa que desarrolla software de reconocimiento óptico de caracteres (OCR) y escaneo de texto, dejó expuesto un servidor que contiene 142GB de documentos escaneados de un cliente, con lo que cualquier persona con acceso a Internet pueda acceder a ellos, sin necesidad de utilizar una contraseña.

El servidor MongoDB alojado en Amazon Web Services accidentalmente configurado para acceso público, contenía unos 203 mil 896 documentos escaneados entre los que se encuentran contratos, acuerdos de confidencialidad, memorándums, correspondencia y otros tipos de documentación confidencial. Especialistas en ciberseguridad informan que algunos de los archivos expuestos datan del año 2012.

La primera vez que los desarrolladores de ABBYY supieron del problema fue cuando fueron contactados por el investigador de ciberseguridad independiante Bob Diachenko. Como explica el investigador en una publicación de LinkedIn, utilizó la API de Shodan, un motor de búsqueda que rastrea dispositivos conectados a Internet, para descubrir la instalación de MongoDB sin seguridad, al momento del descubrimiento, Diachenko alertó a ABBYY sobre el problema de seguridad.

Un portavoz de ABBYY quiso describió la violación de seguridad como “un incidente aislado” que “no compromete a ningún otro servicio, producto o cliente de la compañía”. El nombre de la compañía afectada no ha sido revelado, pero un vistazo al sitio web de ABBYY revela que entre sus clientes se encuentran organizaciones multinacionales de renombre.

ABBYY aseguró los datos comprometidos dos días después de que fueran notificados por el investigador. A pesar de que esta es una buena noticia, se desconoce cuánto tiempo pasó inadvertida la filtración masiva de datos. Desafortunadamente, muchas versiones anteriores del servidor de base de datos todavía están en uso, y funcionan de manera predeterminada sin una contraseña.

Por lo tanto, no es ninguna sorpresa para aquellos que han trabajado durante mucho tiempo en la industria de la ciberseguridad que sigan apareciendo informes de organizaciones que filtran datos a través de instancias de MongoDB sin autenticación.

Por ejemplo, el mismo Diachenko descubrió en días pasados una implementación no segura de MongoDB utilizada por una aplicación para contratar niñeras que revelaba detalles delicados de 93 mil cuentas incluyendo direcciones, número de hijos, números telefónicos, contactos del usuario, chats en la aplicación, y contraseñas encriptadas.

Anteriormente, las víctimas de los sucesos de hacking asociados con MongoDB han incluido sitios como Verizon, el sitio web de citas BeautifulPeople y 31 millones de usuarios de una aplicación de teclado para Android.

Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética consideran que dejar en línea una instancia insegura de MongoDB en Internet es una seria imprudencia. Todos los usuarios de computadoras deberían sentir que pueden confiar en las compañías con las que trabajan para tratar sus datos confidenciales con respeto y no dejarlos en Internet para que nadie los pueda encontrar.