Los instructores de un curso de seguridad informática reportaron el hallazgo de otra base de datos masiva exponiendo millones de registros en Internet público Se trata de una implementación de Amazon Web Services (AWS) que estaba al alcance de cualquiera que sepa usar un motor de búsqueda para encontrar esta información.
La base de datos contiene ocho millones de registros recolectados a través de tiendas en línea y las API de los sistemas de pago de firmas como Amazon, eBay, Shopify y PayPal. El reporte fue corroborado por Bob Diachenko, especialista en la búsqueda de bases de datos expuestas en Internet.
Acorde a los especialistas del curso de seguridad informática, entre los registros expuestos pueden encontrarse datos personales como:
- Nombres completos
- Direcciones de envío
- Historial de compras
- Números telefónicos
- Datos incompletos de tarjetas de pago
Además, en el informe se reportó la filtración de algunos tokens de acceso de usuarios; debido a que una sola persona puede generar múltiples registros, es complicado estimar el total de usuarios afectados durante este incidente. Lo que los investigadores si pudieron determinar es el origen de estos datos, mencionado que más de la mitad de los registros pertenecen a usuarios en el Reino Unido.
Todo indica que el incidente estaba relacionado con una compañía de terceros no identificada que realizaba un análisis de estos detalles. Este es un señalamiento serio, mencionan los expertos del curso de seguridad informática, pues lo más probable es que los usuarios no estuvieran al tanto de que sus detalles confidenciales eran compartidos con un tercero. Amazon fue notificada a la brevedad, por lo que el acceso a la base de datos comprometida ya ha sido clausurado.
A pesar de que la compañía asegura que no existe evidencia de acceso no autorizado a esta información, el Instituto Internacional de Seguridad Cibernética (IICS) señala que no hay forma de comprobar esta afirmación, por lo que las empresas deberán monitorear los foros de hacking más conocidos para verificar que la información comprometida no aparezca en estas plataformas. Finalmente, esta es solamente una nueva advertencia para las compañías que recurren al almacenamiento en línea, que en múltiples ocasiones implementan deficientes controles de seguridad que derivan en la exposición de información privada.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad