Thomson Reuters dijo que notificó un “pequeño subconjunto de clientes” de un servidor mal configurado después de que los investigadores descubrieran 3 TB de datos en una base de datos en la nube expuesta.
Un portavoz de la compañía comento que el problema involucraba un servidor ElasticSearch utilizado con su producto ONESOURCE Global Trade, una herramienta que el conglomerado de medios comercializados para las empresas Fortune 500 como una plataforma de cumplimiento comercial global. Las empresas utilizan el producto para obtener información sobre las normas reglamentarias de diferentes países y otra información sobre el ecosistema de la cadena de suministro en todo el mundo.
Según el portavoz, el servidor contenía registros de las búsquedas de los clientes en la plataforma.
“Hemos notificado de manera proactiva al pequeño subconjunto de clientes que pueden haber tenido datos registrados en ese servidor. También hemos abordado y mitigado la mala configuración”, dijeron. “La mayoría de los clientes se encuentran en los Estados Unidos”.
Thomson Reuters concedió que Cybernews, una organización de investigación de seguridad cibernética, alertó sobre los servidores mal configurados y descubrió que habían permanecido accesibles desde el 21 de octubre. La compañía publicó un informe que decía que sus investigadores encontraron tres bases de datos accesibles para cualquier persona, una de las cuales tenían “un tesoro de información confidencial y actualizado de todas las plataformas de la empresa”.
Tanto Thomson Reuters como Cybernews dijeron que el problema se solucionó rápidamente después de que se descubrió.
Cybernews dijo que la evidencia del servidor mostró que la instancia abierta “se usó como un servidor de registro para recopilar grandes cantidades de datos recopilados a través de la interacción usuario-cliente”, con algunas muestras de datos registradas el 26 de octubre.
“En otras palabras, la compañía recopiló y expuso miles de gigabytes de datos que los investigadores de Cybernews creen que valdrían millones de dólares en foros criminales clandestinos debido al acceso potencial que podría brindar a otros sistemas”, dijeron los investigadores. Entre el caché había “credenciales para servidores de terceros”.
“Los detalles se mantuvieron en formato de texto sin formato, visibles para cualquiera que rastreara la instancia abierta… Este tipo de información permitiría a los actores de amenazas obtener un punto de apoyo inicial en los sistemas utilizados por las empresas que trabajan con Thomson Reuters”, escribieron.
El portavoz de Thomson Reuters dijo que se inició una investigación tan pronto como Cybernews les notificó el problema.
“Apreciamos el trabajo de los investigadores de seguridad ética que nos llamaron la atención sobre este asunto”, dijeron.
El CEO de Laminar, Amit Shaked, explicó que las bases de datos de ElasticSearch no seguras son extremadamente comunes y pueden afectar a casi cualquier empresa, lo que lleva a una posible exposición de información importante.
Debido a que las soluciones de alojamiento en la nube a menudo quedan fuera del rango de visibilidad de los equipos de datos y seguridad, Shaked dijo que el incidente es otro recordatorio para que los equipos de seguridad se aseguren de saber dónde se guardan los datos confidenciales, especialmente en entornos basados en la nube.
Jerrod Piker, analista de inteligencia competitiva de la firma de seguridad cibernética Deep Instinct, agregó que la exposición de credenciales de terceros en texto sin formato era un aspecto preocupante de la filtración, que creaba un riesgo para Thomson Reuters y sus clientes.
“Debido a la confianza inherente que los socios comerciales depositan entre sí, este es un descubrimiento muy alarmante, por decir lo menos”, dijo Piker.
Dan Vasile, exvicepresidente de seguridad de la información de Paramount, vinculó el incidente con Thomson Reuters a los ataques cibernéticos que enfrentan otros medios de comunicación como The New York Post y Fast Company, y señaló que las empresas de medios suelen ser el objetivo por la gran cantidad de datos que tienen. el acceso a los.
“En términos generales, las grandes organizaciones de medios han estructurado programas de seguridad cibernética. Sin embargo, el sector ha ido evolucionando a lo largo de los años, expandiendo la producción y distribución de contenido por medios tradicionales y nuevos, adoptando nuevas tecnologías, y eso ha creado un ecosistema de terceros más distribuido y fragmentado”, dijo Vasile, quien ahora es un vicepresidente de la firma de ciberseguridad BlueVoyant.
“Además, a medida que las redes internas de las empresas están mejor protegidas, a menudo un miembro de su cadena de suministro digital, como un vendedor o proveedor, es el eslabón débil. Nuestra propia investigación reciente sobre la industria de los medios encontró debilidades y vulnerabilidades de seguridad en varios proveedores que respaldan la industria de los medios, lo que sugiere que, como industria, los medios enfrentan importantes desafíos de seguridad cibernética”.
Fuente: https://therecord.media/thomson-reuters-notifies-customers-of-exposed-server-with-unprotected-business-data/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad