La nube de Amazon expone datos de los usuarios

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La popular función de almacenamiento de datos basada en la nube de Amazon está exponiendo información confidencial, incluidos nombres, fechas de nacimiento y estado civil, según una nueva investigación del analista cibernético Mitiga.

Amazon Relational Database Service (RDS) fue elogiado recientemente por la plataforma en la nube del gigante tecnológico AWS por sus "tecnologías de vanguardia" que le permitieron disfrutar de un "crecimiento increíble" a medida que el tráfico aumentó un 40 % año tras año.

Pero cuando Mitiga miró más de cerca detrás de escena, descubrió que las actualizaciones aparentemente rutinarias de la arquitectura RDS dejaban expuesta la información de identificación personal (PII) de los usuarios hasta por un mes, posiblemente más.

La PII observada por Mitiga incluía conversaciones de texto privadas sobre aplicaciones de citas, detalles de los empleados de la empresa y nombres de usuarios, direcciones y correos electrónicos individuales.

Dado que una encuesta citada por la firma de investigación encontró que el servicio Amazon RDS es cada vez más popular entre las empresas minoristas, de medios, editoriales y publicitarias, la vulnerabilidad podría tener un gran impacto en la ciberseguridad pública.

Mitiga se concentró en las "instantáneas" de la base de datos como la fuente de la vulnerabilidad, y las actualizaciones de rutina causaron fugas de datos que, según dijo, podrían ser explotadas en la naturaleza por los actores de amenazas.

"Una instantánea de RDS es una función intuitiva que lo ayuda a hacer una copia de seguridad de su base de datos

• le permite a un usuario compartir datos públicos o una base de datos de plantilla en una aplicación[/i]", dijo Mitiga, y agregó que también podría usarse para compartir datos con colegas. por breves periodos de tiempo.
  
  "Las instantáneas filtradas podrían ser potencialmente un activo muy valioso para un actor de amenazas", agregó. "Esto puede ser durante la fase de reconocimiento de la cadena cibernética o usarse para campañas de extorsión o ransomware".
  
  Base de datos expuesta que muestra el estado civil y los nombres
  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  
  Pistas de palabras clave
  
  Mitiga analizó las bases de datos de Amazon RDS durante un período de investigación de un mes, entre el 21 de septiembre y el 20 de octubre.
  
  El primero destacado en su informe estuvo expuesto durante todo el tiempo, lo que permitió al analista cibernético observar los detalles relacionados con una empresa de alquiler de automóviles, incluidos los detalles del vehículo y del cliente, así como las fechas de entrega. Los nombres y apellidos, números de teléfono, direcciones de correo electrónico e incluso estados civiles de los clientes también estaban visibles.
  
  Otra base de datos estuvo expuesta durante solo cuatro horas, pero reveló PII similar de los clientes del servicio de citas en línea, incluida la fecha de nacimiento y los mensajes privados, mientras que una tercera, también expuesta durante todo el mes, pareció revelar datos pertenecientes a los solicitantes del servicio telefónico.
  
  De las 2.783 instantáneas observadas por Mitiga, se cree que 810 estuvieron expuestas durante todo el mes, y otras 1.859 fueron visibles durante no más de dos días.
  
  Mitiga insiste en que se trata de un "fenómeno mundial", con exposiciones de Amazon RDS detectadas no solo en América del Norte y del Sur, sino también en las regiones de Asia-Pacífico y Europa.
  
  El analista cibernético llegó a sus hallazgos al filtrar las bases de datos que probablemente no contuvieran PII, por ejemplo, aquellas que aparecían bajo búsquedas de palabras clave como "público" o "prueba". Pero cuando se centró en aquellos que usaban palabras mucho más prometedoras en sus títulos, por ejemplo, "contraseña", "tarjeta", "crédito" o "secreto", encontró una gran cantidad de información confidencial.
  
  Base de datos expuesta que muestra los detalles del solicitante del servicio telefónico
  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  
  Peligro de Base de Datos
  
  E incluso las empresas que no almacenan PII en sus bases de datos de Amazon deberían estar preocupadas por los hallazgos de Mitiga, insiste la empresa de investigación.
  
  "Supongamos que usted es muy responsable y no hay forma de exponer públicamente una base de datos con PII, ni siquiera por un segundo", dijo. "¿Hay algo más de lo que deba preocuparse cuando expone su instantánea a alguien? La respuesta es sí."
  
  Agregó: "Hoy en día, no existe una forma nativa de correlacionar entre la identificación de la cuenta y la empresa propietaria de esta cuenta. No es un secreto oficial, pero AWS no publica una gran tabla con esta correlación, y no sin razón: los actores de amenazas en muchas situaciones pagarán mucho por esto".
  
  Pero Mitiga pudo establecer la conexión entre los ID de cuenta vistos en las bases de datos expuestas y las empresas que las poseían porque un examen más detallado de los metadatos de las instantáneas reveló pistas vitales, como los nombres de los empleados, que luego podrían cotejarse con sus empleadores en LinkedIn.
  
  Si bien reconoció que sus métodos de investigación eran "un poco espeluznantes", Mitiga señaló que los actores de amenazas emprendedores estarían demasiado dispuestos a usarlos para obtener la información que necesitan.
  
  "Si el atacante tuviera una forma de descubrir la empresa en función de la identificación de la cuenta, podría cometer su preciado chantaje y obtener mucho dinero", agregó.
  
  Fuente:
  CyberNews
  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta