Un servidor no estaba protegido con una contraseña, y millones de documentos bancarios se filtraron

Bank Documents Exposed by an Unsevured ElasticSearch Cluster

Otro día, otro tesoro expuesto de datos confidenciales. La base de datos fue descubierta el 10 de enero por el investigador de seguridad Bob Diachenko. Tenía 24 millones de registros con un peso de más de 51 GB, y tan pronto como Diachenko vio lo que contenían estos registros, supo que debía actuar rápidamente.

El texto aparentemente había sido generado por una solución OCR. OCR significa reconocimiento óptico de caracteres, una tecnología que se utiliza para convertir documentos escritos a mano o impresos en texto legible por máquina. En este caso particular, el software OCR había escaneado los informes de crédito e hipotecas.

Debido a que cada registro contenía diferentes partes de diferentes documentos, es difícil estimar el número exacto de individuos afectados. Es justo decir, sin embargo, que mucha información extremadamente sensible se dejó al descubierto. La base de datos contenía nombres, direcciones, números de teléfono, historial de crédito, números de Seguro Social, etc. Como lo expresa el propio Diachenko, la base de datos era "una mina de oro para los ciberdelincuentes que tendrían todo lo que necesitan para robar identidades, presentar declaraciones de impuestos falsas, obtener préstamos o tarjetas de crédito".

¿Quién expuso los datos?

No se supo de inmediato a quién pertenecía la base de datos, razón por la cual Diachenko llamó a Zack Whittaker de TechCrunch y le pidió ayuda con la investigación. Después de una mirada más cercana, descubrieron que los documentos datan de 2008 y fueron emitidos por varias instituciones financieras importantes, incluidas Wells Fargo, CapitalOne, HSBC y algunos departamentos federales de EE. UU.

Un poco más tarde, concluyeron que la información había sido recopilada por Ascension, una empresa con sede en Texas que brinda servicios de análisis de datos a los bancos. Whittaker se puso en contacto con Sandy Campbell, representante de la empresa matriz de Ascension, quien dijo que sí, que la base de datos pertenecía al negocio de análisis, pero no, sus sistemas no se habían visto comprometidos.

Aparentemente, un vendedor contratado por Ascension cometió el error. Aunque Campbell se negó a nombrar a dicho proveedor, Zack Whittaker cree que es OpticsML, con sede en Nueva York. Teniendo en cuenta el hecho de que, según una versión archivada de su sitio web (la versión en vivo está inactiva por alguna razón), OpticsML ofrece servicios de OCR "a algunas de las compañías más grandes en el espacio de Hipotecas", el escenario no parece muy improbable. Dicho esto, nadie ha confirmado oficialmente la información.

La buena noticia es que, después de que Citigroup, una de las instituciones financieras cuyos clientes se vieron afectados, intervino, la base de datos fue eliminada y no se puede acceder desde el 15 de enero.

¿Cómo se expusieron los datos?

Bob Diachenko no usó una inyección inteligente de código, contraseña forzada ni ningún otro tipo de técnica de pirateo. En cambio, lo descubrió con la ayuda de motores de búsqueda disponibles públicamente como Shodan y Censys, y cuando llegó a él, no había una contraseña que le impidiera mirarlo, descargarlo o posiblemente abusar de él.

Los datos se dejaron en un clúster de ElasticSearch y se enfrentaban a Internet sin ningún tipo de protección. Era accesible para cualquiera que quisiera aceptarlo, y encontrarlo era tan difícil como ingresar una consulta en un motor de búsqueda.

Es lo último en una larga línea de filtraciones de datos que ocurre no porque los hackers son demasiado inteligentes o porque el software es demasiado débil, sino porque los proveedores cometen errores de configuración simples y completamente evitables al proteger la información de las personas. En realidad, se produce pocos días después de que otro servidor ElasticSearch no seguro expuso todo tipo de datos confidenciales que pertenecen a los usuarios de varios casinos en línea.

Los vendedores realmente deben retomar su juego cuando se trata de mantener a las personas seguras. Tienen las herramientas necesarias para evitar al menos algunos de los incidentes de exposición de datos, y no tienen excusas para no usarlos.

November 27, 2019

Deja una respuesta