Keepnet Labs confirma que se expusieron 5 mil millones de direcciones de correo electrónico y contraseñas recopiladas de violaciones de datos anteriores
Una base de datos con cinco mil millones de registros llenos de nombres de usuario y contraseñas fue expuesta a Internet y no estaba protegida por ninguna forma de autenticación. Como era de esperar, el incidente acaparó más de unos pocos titulares, especialmente en los últimos días, pero desafortunadamente, lo hizo por todas las razones equivocadas.
La vulnerable base de datos Elasticsearch fue descubierta por el investigador de seguridad Bob Diachenko, quien se sorprendió no solo por el tamaño de la base de datos sino también por la forma en que está estructurada la información que contiene. Una breve investigación relacionó los datos expuestos con una compañía de ciberseguridad con sede en el Reino Unido llamada Keepnet Labs, que publicó una declaración la semana pasada en un intento por aclarar qué salió mal y por qué.
Suena peor de lo que es
Uno de los puntos clave de la declaración de la compañía de seguridad es que la base de datos no contiene ningún dato de clientes de Keepnet Labs. Keepnet Labs es una compañía de inteligencia de amenazas que recopila las credenciales de inicio de sesión filtradas durante las violaciones de datos, y si encuentra los detalles de algunos de sus clientes, los notifica y les aconseja sobre las acciones que deben tomar.
La base de datos de Elasticsearch estaba llena de los nombres de usuario y contraseñas filtrados durante varios incidentes de ciberseguridad que ocurrieron entre 2012 y 2019. Además de las credenciales de inicio de sesión, cada registro contenía la fuente de la fuga, el año de la violación y el método de almacenamiento de contraseña.
Según la declaración, Keepnet Labs sí utilizó la base de datos para proporcionar su servicio de inteligencia de amenazas, pero no fue responsable de mantenerla. Este era el trabajo de un contratista que había estado trabajando con la compañía de seguridad desde febrero de 2018. Mientras realizaba el mantenimiento programado, un empleado de dicho contratista apagó brevemente el firewall para acelerar el proceso y sin darse cuenta expuso los datos. Después de unos diez minutos, el firewall se volvió a encender, pero para entonces, la base de datos ya había sido indexada por BinaryEdge, razón por la cual Diachenko logró encontrarlo.
En una palabra, la fuga no fue tan mala como parecía al principio. Todos los nombres de usuario y contraseñas se habían filtrado antes del incidente, y aunque estaban disponibles en una sola base de datos bien estructurada, descargar una parte significativa mientras aún estaba expuesto era prácticamente imposible, según Keepnet. La compañía dice que ha aprendido sus lecciones y ha tomado precauciones para asegurarse de que esto no vuelva a suceder. Desafortunadamente, inmediatamente después del incidente, Keepnet Labs tomó otro conjunto de precauciones que no lo pusieron en la mejor luz.
La divulgación no fue exactamente fluida
Bob Diachenko hizo el descubrimiento en marzo, y después de que publicó su informe, más de unos pocos medios y blogs de seguridad cibernética cubrieron la filtración. Keepnet Labs consideró que muchos de ellos hicieron declaraciones engañosas durante su cobertura, por lo que se contactó con algunos reporteros y se les pidió que editaran sus artículos.
El popular blogger de seguridad Graham Cluley también recibió un correo electrónico de Keepnet, y aunque no creía que su representación de los hechos fuera de ninguna manera incorrecta, estaba más que dispuesto a darle a la compañía de seguridad la oportunidad de contar su versión de la historia.. Sin embargo, en lugar de una declaración oficial o la oportunidad de hablar con un portavoz, recibió un correo electrónico de los abogados de Keepnet que le dijeron que si no revisaba su artículo y eliminaba el nombre de la compañía, se enfrentaría a acciones legales contra él.
No hay absolutamente nada de malo en que Keepnet Labs defienda su reputación si siente que ha sido dañado por informes deficientes. Sin embargo, durante casi tres meses completos, la compañía no emitió una declaración oficial para dejar las cosas claras, y se negó a trabajar con los reporteros para presentar todos los hechos con precisión. Esto puede tener un impacto aún mayor en la reputación de Keepnet que la supuesta tergiversación de los hechos en algunos sitios web.
