Parece que el incidente fue causado por un servidor ElasticSearch desprotegido
Tal como especialistas en ciberseguridad y forense digital del Instituto Internacional de Seguridad Cibernética habían asegurado, los servidores de ElasticSearch, tecnología de búsqueda en Internet, están por convertirse en la nueva fuente principal de fugas masivas de datos.
La compañía afectada de manera más reciente por las violaciones de seguridad en los servidores de ElasticSearch es Sky Brasil, uno de los mayores prestadores de servicio de televisión de paga en América del Sur.
Fabio Castro, especialista en forense digital en Brasil, aseguró que Sky Brasil dejó expuesto en línea un servidor de ElasticSearch sin contraseña durante aproximadamente diez días, posiblemente más. Castro afirma que a finales de noviembre descubrió el servidor perteneciente a Sky Brasil, indexado por Shodan, la popular herramienta de búsqueda para rastrear dispositivos conectados a Internet.
Aunque inicialmente el especialista desconocía a quién pertenecía el servidor desprotegido (al cual se podía acceder desde dos direcciones IP diferentes), al indagar en la información filtrada le fue posible inferir la identidad de los propietarios del servidor. El especialista en forense digital menciona que el servidor almacenaba registros y datos de API que pertenecían a Sky Brasil. En total, Castro encontró 28.7GB de archivos de registro y una 429.1GB de datos API.
Entre los datos filtrados, menciona el experto, se encontraron archivos de información personal de más de 32 millones de clientes residenciales y comerciales. Los datos personales incluyen nombres, domicilios, números de teléfono, fechas de nacimiento, detalles de facturación y contraseñas cifradas, según lo reportado por Castro.
Castro menciona que descubrió el servidor la semana pasada, pero tiene motivos para pensar que éste pudo haber estado indexado en Shodan desde mediados de octubre al menos. El especialista reporta que informó a la empresa sobre esta filtración masiva la semana pasada. Aunque la empresa no se ha comunicado de manera directa con Castro, él mismo afirma que el servidor fue asegurado el lunes por la mañana, tiempo de Brasil. De esta manera, la empresa espera restringir el acceso a esta información de usuarios externos.
En el peor de los escenarios posibles, algún actor malicioso pudo haber conseguido los datos de Sky Brasil, lo que podría resultar muy útil en campañas fraudulentas en línea (como el conocido spear phishing). Al contener información sensible de los usuarios afectados, una campaña de esta clase tiene mayores posibilidades de infectar a los usuarios con malware u obtener más detalles sensibles, como inicios de sesión o datos financieros.
Esta no es la primera ocasión que una organización brasileña deja expuesto un servidor de ElasticShare. Hace algunas semanas, la Federación de Industrias de Sao Paulo dejó expuesta en línea la información personal de alrededor de 24 millones de personas.
Acorde a expertos en forense digital, el principal motivo de estas fugas de datos masivas, es que los administradores de los servidores de ElasticShare no configuran las contraseñas de sus servidores, que posteriormente son expuestos en Internet, donde cualquier usuario sin conocimientos específicos puede acceder, copiar o descargar cualquier información almacenada en caché.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad