Un investigador encontró gran cantidad de información sobre la organización internacional
Muchos de los líderes nacionales reunidos esta semana en Nueva York para la Asamblea General de las Naciones Unidas deberían de estar agradecidos con los funcionarios de la ONU que están lidiando con un reciente robo de datos. El experto en hacking ético Kushagra Pathak publicó recientemente en su cuenta de Twitter que el pasado mes de agosto descubrió una gran cantidad de información que debería haber estado bloqueada, sin embargo, pudo acceder a esta en línea, agregando que incluso después de notificar a la ONU su hallazgo, la organización tardó en responder.
“En agosto de este año, encontré 60 tableros de Trello (un software de administración de proyectos), un perfil público de Jira público y muchos archivos de Google Docs de la ONU que contenían credenciales para múltiples servidores FTP, redes sociales y cuentas de correo electrónico, así como archivos de comunicación interna y documentos diversos”, publicó el experto en su cuenta de Twitter.
Pathak dijo haber informado a la ONU inmediatamente después de su descubrimiento el 20 de agosto, pero pasaron dos semanas sin que obtuviera respuesta, hasta que la organización internacional respondió que revisarían los datos expuestos. Luego, el 12 de septiembre, la ONU dijo que no podía replicar los problemas y le pidió a Pathak más información. Posteriormente, la ONU comenzó a asegurar o, en su defecto, eliminar la información expuesta.
La plataforma de Trello se utiliza para las comunicaciones internas y externas de la ONU, mencionó un vocero de la organización para diferentes medios, del mismo modo que es utilizada por muchas organizaciones para gestionar y planificar proyectos. Pathak dijo que muchas de los tableros de Tello que encontró se usan para alojar información que debería ser clasificada como privada.
“Información sobre errores no solucionados y vulnerabilidades de seguridad, las credenciales de acceso de sus cuentas de redes sociales, cuentas de correo electrónico, servidores, tableros de administración están disponibles en sus tableros públicos de Trello que están siendo indexados por todos los motores de búsqueda y cualquiera lo suficientemente dedicado puede encontrarlos fácilmente”, mencionó el experto en hacking ético.
La mayoría de los tableros de Trello expuestos se encontraron mediante Google dorking, una técnica de hacking que emplea el motor de búsqueda de Google u otras aplicaciones de la empresa para encontrar errores de seguridad en el código que utilizan las páginas web.
Especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética consideran que, al igual que muchas organizaciones internacionales, la ONU tiene algunos problemas presupuestales que le han impedido dedicar los recursos suficientes a la protección de su información en línea, aunque esto no es excusa para las muestras de negligencia que ha demostrado este suceso.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad