Esto es lo que sucede cuando un contratista de Sprint expone las facturas de AT&T, T-Mobile y Verizon

Sprint Contractor Data Leak

En su sitio web (que, en una nota no relacionada, se carga a través de HTTP y no HTTPS), Deardorff Communications, una empresa de marketing y comunicaciones con sede en Georgia, dice que su equipo tiene mucha experiencia en una variedad de campos, incluida la planificación estratégica, ventas, publicidad, etc. Desafortunadamente, cuando se trata de configurar los cubos de almacenamiento de Amazon Web Service, su experiencia es escasa.

Un empleado de Deardorff colocó un poco más de un cuarto de millón de documentos en un bucket de Amazon S3, no pudo establecer una contraseña y olvidó cambiar la configuración de accesibilidad de "pública" a "privada". Como resultado, el depósito, junto con todos los archivos que contiene, se puede ver desde cualquier parte del mundo. No es sorprendente que, en un momento, los investigadores de una compañía de pruebas de penetración llamada Fidus Information Security, las mismas personas que revelaron una falla de seguridad en el nuevo eRosary del Vaticano, así como una fuga de datos por parte de Magic: The Gathering, terminaron mirando el cubo de Deardorff.

Facturas telefónicas y mucha información confidencial dejada al descubierto

Había un poco más de 260 mil documentos en el paquete, y la mayoría de ellos eran facturas de teléfonos celulares que pertenecían a los suscriptores de AT&T, T-Mobile y Verizon. Deardorff recopiló todos estos archivos porque Sprint, uno de sus mayores clientes, quería persuadir a los suscriptores para que cambiaran su proveedor de servicios de telefonía celular. Según uno de los documentos, Sprint incluso estaba preparada para pagar las tarifas de terminación anticipada, solo para asegurarse de que más personas estén utilizando sus servicios.

Las facturas telefónicas revelan una gran cantidad de información personal y detalles de contacto, y también a menudo contienen registros de llamadas, que algunas personas probablemente prefieren no compartir con el resto del mundo. Además de todo esto, los investigadores también encontraron un extracto bancario y una captura de pantalla que revelaba los nombres de usuario, las contraseñas y los PIN en línea de un número desconocido de suscriptores.

Al principio, no estaba claro quién había expuesto los datos. Poco después de encontrar el cubo, los expertos notificaron a Amazon, que se puso en contacto con el propietario de los datos y lo desconectó. Sin embargo, por razones legales, Amazon se negó a decirle a Fidus quién fue el responsable de la filtración.

Sin embargo, los datos se compartieron con Zack Whittaker de TechCrunch, quien ejecutó algunos de los archivos a través de un verificador de metadatos y descubrió que probablemente era propiedad de Deardorff. Jeff Deardorff, presidente de la compañía de marketing, admitió que uno de sus empleados fue responsable de la filtración y prometió que haría todo lo posible para descubrir qué salió mal y qué se puede hacer para evitar incidentes similares en el futuro.

Las filtraciones de datos como esta son demasiado comunes

Algunos de ustedes podrían decir que esto está lejos del incidente de seguridad de datos más horrible y que muchos otros documentos pueden ser mucho más peligrosos. Sin embargo, un vistazo rápido a su última factura telefónica regular revela que lo que parece un trozo de papel inocuo en realidad contiene información que puede conducir fácilmente al robo de identidad. En este caso particular, Deardorff también reveló las contraseñas y los números de PIN de los suscriptores, lo que aumenta el riesgo de ataques como el intercambio de SIM y el relleno de credenciales.

El verdadero problema es que a diario se producen fugas similares. La mayoría de las veces, son causados por errores de configuración fáciles de evitar y bastante simples, pero la falta de educación significa que las personas de TI no saben qué hacer cuando tienen la tarea de almacenar de forma segura los datos de los usuarios.

Deardorff no dijo cuándo se abrió el cubo por primera vez al público, y nadie puede confirmar si los ciberdelincuentes lograron llegar o no antes de que fuera desconectado. Zack Whittaker le pidió a AT&T, Verizon y T-Mobile que hicieran más comentarios, pero no recibió nada sustancial, probablemente porque los tres proveedores de telecomunicaciones simplemente no tienen nada que agregar. El resultado es que no sabemos cuántas personas se vieron potencialmente afectadas por la fuga, lo que significa que si usted es un suscriptor de AT&T, Verizon o T-Mobile o si se ha cambiado de ellos a Sprint, es posible que desee Tenga cuidado con cualquier signo de fraude o robo de identidad.

December 6, 2019

Deja una respuesta