Sin embargo, otra empresa no pudo asegurar su base de datos, y 198 millones de compradores de automóviles fueron expuestos
Con demasiada frecuencia, el alto costo se cita como la razón principal para no proteger los datos privados de las personas. Cuando las organizaciones sufren un ataque cibernético, tienden a decir que habrían utilizado las herramientas adecuadas y que habrían contratado a las personas adecuadas si no fuera tan costoso.
Sin embargo, en muchas ocasiones, las empresas no necesitan gastar millones para proteger la información de las personas. A menudo, evitar algunos de los errores más básicos es todo lo que se necesita. Un incidente reciente de seguridad de datos que involucra una red de sitios web propiedad de DealerLeads lo confirma.
Table of Contents
Casi 200 millones de compradores de automóviles tienen sus datos expuestos
En agosto, Jeremiah Fowler de SecurityDiscovery.com descubrió una base de datos que contiene los nombres, correos electrónicos, números de teléfono, direcciones físicas e IP y otra información identificable de la friolera de 198 millones de personas. Al principio, luchó para descubrir quién era el propietario del conjunto de datos de 413 GB, pero después de investigar un poco, se dio cuenta de que pertenecía a DealerLeads. Los informes iniciales por correo electrónico quedaron sin respuesta, pero una vez que levantó el teléfono, la compañía se puso en acción y tomó las precauciones necesarias para proteger los datos.
Pero, ¿cómo recopiló DealerLeads toda esta información en primer lugar? ¿Y cómo quedaron expuestos los datos?
El modelo de negocio de DealerLeads gira en torno a la compra y venta de automóviles nuevos y viejos. Sin embargo, la compañía en realidad no comercializa ningún automóvil. En cambio, tiene una red de sitios web bien posicionados para atraer a un gran número de compradores de automóviles, y los redirige a los concesionarios que pagan por el tráfico adicional y los clientes.
Aparentemente, la información que encontró Jeremiah Fowler fue recopilada mientras los compradores potenciales de automóviles todavía estaban en los sitios web de DealerLeads. Es difícil decir qué tan bien informados estaban los usuarios de la recopilación de datos, y tampoco está claro qué querían hacer DealerLeads con ella. Cualquiera sea el propósito de la base de datos, sin embargo, no estaba protegida tan bien como debería haber estado.
Otra violación de datos causada por un error de configuración básica
Desafortunadamente, una vez más estamos hablando de una base de datos masiva llena de toneladas de información confidencial que era accesible para cualquier persona con un navegador. Una vez más, era un servidor ElasticSearch que estaba expuesto a Internet, y una vez más, no estaba protegido por una contraseña.
Es el último de una muy larga línea de incidentes masivos de exposición de datos que no sucedió porque los delincuentes eran demasiado inteligente o sofisticado, pero debido a que las empresas responsables de la protección de la información de las personas no hacen lo que tenían que hacer.
No estamos hablando de costosas soluciones de seguridad.. Estamos hablando de la falta de una comprensión fundamental de las herramientas disponibles y sus mecanismos de protección. Es el equivalente a poner todos sus datos confidenciales en un teléfono inteligente y dejar el dispositivo desatendido y desbloqueado en un lugar público. La diferencia es que en el caso de DealerLeads, cerca de 200 millones de personas se vieron afectadas. ¿Qué tan preocupados deberían estar estos 200 millones de personas?
Los cibercriminales podrían haber accedido a los datos filtrados
La base de datos se desconectó el 20 de agosto, poco después de que Jeremiah Fowler lo informara. Sin embargo, nadie dice cuánto tiempo estuvo expuesto, y aunque es difícil saber si Fowler fue el primero en descubrirlo, el propio investigador admitió que lo había visto "varias veces" antes de su informe. En otras palabras, no será demasiado sorprendente si resulta que los datos ya han caído en las manos equivocadas, lo que hace que la reticencia de DealerLeads a emitir una declaración pública sea aún más extraña.
No hay nada oficial en este momento, y es difícil decir si el negocio de SEO está contactando a los usuarios afectados individualmente. Cualquiera sea el caso, el incidente no debe ser subestimado.
Hay suficiente información identificable para causar mucho daño en el mundo real, y la presencia de direcciones IP y otros datos en la instalación mal configurada de ElasticSearch también abre la puerta a la delincuencia en el mundo digital. Si crees que tus datos podrían haber estado expuestos, debes ser aún más cuidadoso de lo habitual.
