Los datos del cliente se han expuesto a partes desconocidas en una fuga de datos de DigitalOcean

Históricamente, hemos aprendido a asociar las infracciones de datos con los ciberdelincuentes que utilizan técnicas inteligentes para hackear las defensas de las organizaciones seleccionadas y robar los datos personales de los usuarios. Si bien es cierto que los piratas informáticos comprometen los servicios en línea de todas las formas y tamaños, hoy en día, la exposición de datos suele ser el resultado de errores cometidos por los propios proveedores de servicios.

Los investigadores de seguridad encuentran servidores desprotegidos y bases de datos expuestas accidentalmente que contienen terabytes de información privada todos los días, e instan constantemente a las empresas a ajustar sus procedimientos de almacenamiento de datos. Desafortunadamente, las fugas continúan ocurriendo, y esto se debe al menos en parte al hecho de que las personas tienden a subestimar estos incidentes. A menudo, cuando los expertos encuentran una base de datos expuesta, no tienen forma de decir si un tercero ha logrado acceder a los datos antes que ellos, y debido a que los proveedores de servicios generalmente no notan ninguna actividad maliciosa inmediatamente después, las personas suponen que la filtración es intrascendente DigitalOcean, uno de los proveedores de alojamiento más grandes del mundo, recientemente expuso algunos datos de clientes y mostró cuán peligrosa podría ser esta mentalidad de "no hacer daño".

DigitalOcean expone un documento lleno de datos del usuario

La semana pasada, DigitalOcean comenzó a informar a algunos de sus clientes sobre una fuga de datos. Aparentemente, un empleado accidentalmente puso a disposición un documento interno a través de un enlace público. Los datos expuestos incluyen direcciones de correo electrónico y nombres de cuenta, así como detalles específicos de la cuenta, como uso de ancho de banda, recuentos de gotas y notas de soporte. También se expusieron las cantidades que los usuarios afectados pagaron por los servicios de alojamiento durante el año 2018, aunque la compañía insistió en que la información financiera de las personas no se vio afectada.

La notificación de incumplimiento nunca se convirtió en una declaración oficial o un comunicado de prensa, y probablemente pueda ver por qué. El documento realmente no contiene ninguna información particularmente sensible y, aparte de las direcciones de correo electrónico y los nombres de cuenta, hay poco más que los hackers puedan encontrar útil. Además, cuando los medios de comunicación como ZDNet recogieron la noticia, un portavoz de DigitalOcean dijo que solo alrededor del 1% de los clientes de la compañía se vieron afectados. En otras palabras, la fuga no parece especialmente notable. Sin embargo, desde un punto de vista educativo, puede ser extremadamente útil, especialmente para las personas que tienden a subestimar los peligros asociados con este tipo de fugas.

Terceros no autorizados accedieron a los datos 15 veces

DigitalOcean dijo que no ha habido actividad anormal observable alrededor de las cuentas de las personas como resultado de la violación. Sin embargo, la compañía admitió que terceros no autorizados accedieron al documento 15 veces antes de que fuera retirado.

Esta no es la peor filtración que hemos visto, pero esperamos que la gente le preste atención, ya que puede ser una prueba contundente de que si una información se deja en Internet, tarde o temprano, alguien obtendrá lo. Esta información puede (y a menudo es) extremadamente sensible, y las personas deben aprender que, incluso si no hay un uso indebido probado, si se ha expuesto públicamente, debe considerarse comprometida.

Afortunadamente, las compañías como DigitalOcean harán lo que puedan para garantizar que incidentes como este sean tan raros como sea posible y, con suerte, los usuarios finalmente se darán cuenta de lo peligrosos que pueden ser.