AWS Bucket expone 50.4 GB de datos de un gigante financiero

Otro AWS Bucket expuesto al público, esta vez pertenecía a Birst. Un equipo de seguridad cibernética ha descubierto una enorme cantidad de datos expuestos debido a un Bucket S3 desprotegido de Amazon Web Services (AWS). La base de datos pertenecía a Birst, una firma de inteligencia de negocios en la nube (BI) y analítica.

aws s3

La base de datos expuesta contenía 50,4 GB de datos de uno de los usuarios de Birst Capital One, un gigante de servicios financieros y el octavo banco comercial más grande de los Estados Unidos. Los datos filtrados contenían información técnica sobre el dispositivo Birst especialmente configurado para la ciberinfraestructura de Capital One.

De acuerdo con el informe de los investigadores de seguridad cibernética, los datos también contenían contraseñas, credenciales de acceso administrativo y claves privadas para su uso dentro de los sistemas de Capital One por un entorno de nube Birst en las instalaciones. Los datos expuestos fueron suficientes para guiar a un atacante sobre cómo el dispositivo Brist utilizado por Capital One podría haberse visto comprometido y para profundizar en el sistema de TI de la compañía.

La información fue descubierta el 15 de enero de 2018 por el especialista en seguridad de datos Chris Vickery, y se encuentra en el subdominio “capitalone-appliance” y permite el acceso de cualquier persona.

Uno de los archivos identificados estaba etiquetado como “Client.key” que llevaba una clave de cifrado para descifrar datos. Sin embargo, la clave se almacenó con el dispositivo cifrado que podría haber permitido a los hackers penetrar el dispositivo.

Además, el experto en seguridad de datos afirmó identificar los nombres de usuario y su contraseña hash utilizada por la empresa en la base de datos para el dispositivo.

“El dispositivo expuesto de Birst proporciona una hoja de ruta donde los atacantes pueden enfocar sus energías para tratar de comprometer los sistemas más amplios de Capital One. De mayor interés son las ubicaciones de los puertos que conectan el dispositivo Birst con los otros servicios que alimentarían sus paneles de inteligencia empresarial “, dijo Vickery.

“La buena noticia es que el atacante primero tendría que comprometer la red de Capital One para usar las credenciales filtradas para intentar comprometer el dispositivo Birst. Esta fuga no expone toda la información almacenada en esos otros sistemas. Más bien, esta fuga multiplica el efecto de cualquier ataque exitoso, ya sea a través de phishing, malware, ingeniería social o amenaza interna a una escala potencialmente catastrófica”, concluyó el investigador de seguridad de datos.

Días después del descubrimiento, el equipo de seguridad cibernética eliminó su publicación de blog sobre la base de datos expuesta de Birst. En un correo electrónico, la portavoz de Capital One dijo que “En ningún momento se expuso ninguna información de Capital One. Esto fue simplemente una instancia del software de un proveedor alojado en su entorno de nube. Las contraseñas y credenciales referenciadas son genéricas y se usan para instalar este software. Como una cuestión de práctica estándar, Capital One cambia todas las configuraciones predeterminadas, incluidas las credenciales, antes de implementar software de terceros. Debido a esto, no hay impacto en la seguridad de los sistemas y datos de Capital One”.

Pero esta semana, el equipo de seguridad de datos restauró y actualizó su publicación de blog según la cual “Capital One se comunicó con el equipo para brindar más comentarios sobre el uso previsto del dispositivo Birst en su entorno”.