Como consecuencia de una reciente brecha de datos masiva que involucra alrededor de 976 millones de registros, fueron expuestos cerca de un millón de archivos almacenados en una base de datos de la compañía automotriz Honda, los cuales contenían diversos detalles sobre miles de vehículos y sus propietarios, reportan especialistas en seguridad de aplicaciones web.
En el informe se menciona que no era necesario ingresar una contraseña o cualquier otro método de autenticación para acceder a la base de datos, por lo que ésta se encontraba completamente expuesta para cualquier usuario.
Bob Diachenko, reconocido investigador y experto en seguridad de aplicaciones web, dedicado a la búsqueda de información comprometida, fue el encargado de reportar el incidente, después de identificar un clúster de Elasticsearch sin protección, mismo que almacenaba los 976 millones de registros, todos pertenecientes a Honda en América del Norte.
Diachenko menciona que la base de datos habría permanecido expuesta por al menos una semana, tiempo más que suficiente para que algún actor de amenazas haya accedido a la información, copiarla y almacenarla con fines maliciosos.
Entre los detalles personales expuestos durante el incidente destacan:
- Nombres completos
- Domicilio
- Números telefónicos
- Dirección email
- Marca y modelo del vehículo
- Número de placas del vehículo
- Registros sobre servicios de mantenimiento
Firmas de seguridad de aplicaciones web han reportado en anteriores ocasiones incidentes similares debido a omisiones del personal de Honda. Acorde a Chris DeRamus, de la firma DivvyCloud, reporta que: “En enero de 2019 se detectó una brecha de datos pertenecientes a la compañía automotriz. La base de datos se encontraba completamente expuesta”, afirmó el experto.
Las configuraciones de seguridad erróneas al habilitar una base de datos son la principal causa de los incidentes de exposición de información, pues se estima que más de la mitad de estos incidentes podrían evitarse si el personal encargado de administrar estas implementaciones habilitara las medidas adecuadas.
No obstante, las características inherentes a esta clase de implementaciones generan desconocimiento de los usuarios, por lo que las mejores prácticas de seguridad, aunque existan y estén listas para ser habilitadas, no se utilizarán, puesto que los usuarios ignoran que siquiera están disponibles, afirman los especialistas en seguridad de aplicaciones web.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que la prevención de estas configuraciones erróneas reduciría notablemente los incidentes de exposición de información de bases de datos en cualquier compañía.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
