Especialistas en borrado seguro de archivos revelaron el hallazgo de una base de datos en línea sin asegurar que contenía información personal y confidencial de más de 190 bufetes de abogados que emplearon el software Laserforms Hub, de la firma británica Advanced.
Los investigadores que realizaron el hallazgo mencionan que la base de datos estaba disponible para cualquier usuario con acceso a Internet y un navegador, por lo que el incidente representa una seria amenaza para las 193 firmas involucradas, sus empleados y sus clientes. El Centro Nacional de Seguridad Cibernética de Reino Unido ayudó a determinar el origen de estos datos.
“Debido a la naturaleza de la información expuesta, consideramos que existe una alta probabilidad de daño para las personas y organizaciones involucradas”, mencionan los especialistas en borrado seguro de archivos. Esta información ha estado expuesta por un periodo de tiempo indeterminado, por lo que aún queda determinar si algún empleado o usuario ya ha sido víctima del incidente.
El hallazgo fue reportado a Advanced por investigadores de la firma TurgenSec. Después de la notificación, el proveedor de software cerró el acceso público a la base de datos, pero se negó a cooperar con la empresa para emitir cualquier declaración pública sobre la brecha de datos.
Acorde a los expertos en borrado seguro de archivos de TurgenSec, la base de datos expuesta contenía información relacionada con todos los empleados de las 193 firmas comprometidas, además de datos relacionados con la autenticación de los usuarios, como nombres de usuario, contraseñas “hashed”, nombre del empleador, entre otros detalles. Además, en algunos casos también se expusieron detalles confidenciales de los miembros de los bufetes, como nombres completos, direcciones, números telefónicos, lugar de residencia, detalles del pasaporte, entre otros datos. Aunque no se ha confirmado, se menciona que algunos detalles sobre transacciones financieras también están disponibles en la base de datos.
“Esta brecha de datos es un caso relevante para el debate sobre la divulgación responsable de información y sobre las formas en las que las compañías se comportan para cumplir con un estándar de seguridad informática”, consideran los investigadores de TurgenSec.
El Instituto Internacional de Seguridad Cibernética (IICS) menciona que esta es una muestra de una práctica abusiva, pues muchos registros permanecieron bajo el resguardo de estas compañías incluso tres años después de que se registraron.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
