La empresa no operaba con las mejores prácticas de la industria
Es muy fácil suponer que las empresas de software de gestión de datos están perfectamente capacitadas para gestionar su propia información. Sin embargo, resulta que algunas compañías, incluso las más populares, tienen dificultades para hacer este trabajo. Veeam, conocida firma de gestión de datos en la nube ha llamado la atención últimamente por una seria falla en el manejo de los datos de sus clientes, tarea básica para la empresa. Según reportan especialistas en hacking ético, las mediocres prácticas de seguridad de Veeam para sus bases de datos almacenadas en línea han expuesto cientos de millones de registros de marketing.
De hecho, es sorprendente que Veeam haya sufrido una mala gestión masiva de los datos, ya que la empresa a menudo se jacta del alto nivel de seguridad que proporciona a los datos de sus clientes. Veeam cuenta con más de 307 mil clientes, muchos de estos son empresas líderes en sus ramos.
El especialista en hacking ético Bob Diachenko identificó una base de datos expuesta que contenía más de 200GB de datos de clientes. Esta incluye información privada y confidencial como nombres, direcciones de correo electrónico y direcciones IP. Este tipo de datos podría ser un tesoro para los spammers y agentes maliciosos para llevar a cabo diversos ataques, incluidas campañas de phishing.
Diachenko declaró en su informe que la base de datos no estaba protegida con una contraseña y, por lo tanto, cualquier persona con conocimientos y dedicación necesaria para encontrar estos datos en línea podría acceder a ellos.
La base de datos incluye dos colecciones, cada una con 199.1million y 244.4million de registros personales e identificaciones de correo electrónico, respectivamente. Los datos corresponden a clientes que se registraron en Veeam entre 2013 y 2017. Se notificó a Veeam sobre la presencia de una base de datos no protegida, y la compañía desconectó el servidor en tres horas.
Portavoces de Veeam declararon respecto al incidente que la compañía llevará a cabo una profunda investigación, además de que se implementarían medidas apropiadas de acuerdo con los hallazgos. En el comunicado oficial de la empresa puede leerse: “Hemos sido informados que una de nuestras bases de datos de marketing conteniendo una cantidad de registros no confidenciales (direcciones de correo electrónico, por ejemplo) posiblemente fue visible para terceros durante un breve período de tiempo”.
Acorde a expertos en hacking ético del Instituto Internacional de Seguridad Cibernética, la información sustraída podría ser usada en agresivas campañas de publicidad, así como ciberataques que explotan información personal, como el spear phishing.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad