Plataforma surcoreana expone datos de 1 millón de clientes: ¡Un llamado a la seguridad!

Según el equipo de seguridad de Website Planet, un reciente incidente afectó a la plataforma de puntos de fidelidad Dodo Point y resultó en una gran exposición de datos personales.

Dodo Point es operado por Yanolja Cloud en Corea del Sur. El servicio se basa en los números de teléfono de los usuarios. Los clientes ingresan sus números de teléfono en restaurantes o tiendas a través de una tablet (Figura A) y luego se les acreditan sus recompensas.

Figura A

Un bucket de Amazon utilizado por la compañía no estaba asegurado: no se había implementado ningún protocolo de autenticación y no se había utilizado cifrado de datos en el almacenamiento, lo que resultó en la exposición de alrededor de 73,000 archivos, equivalentes a más de 38 GB de datos.

Amazon no es responsable de la mala configuración del bucket de Dodo Point, ya que la seguridad de un bucket es responsabilidad del cliente de Amazon.

VER: Brecha de contraseñas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La investigación, basada en la cantidad de registros de clientes expuestos en archivos de Excel y teniendo en cuenta las entradas duplicadas, llevó a los investigadores a estimar que al menos un millón de registros de clientes fueron filtrados en el incidente.

Según el sitio web de la compañía, grandes marcas multinacionales como Nike y Marriott utilizan Dodo Point.

La exposición incluye los nombres, fechas de nacimiento, género, números de teléfono, direcciones de correo electrónico, tiendas visitadas y posiblemente más información de los usuarios (Figura B).

Figura B

También se encontraron menos de 1,000 detalles de transferencias bancarias y domiciliaciones bancarias en la base de datos. Todos estos datos podrían permitir a cualquier persona hacer un perfilado de los hábitos de usuarios específicos.

Índice de Contenido
  1. Reporte ineficiente de incidentes
  2. Exposiciones similares en línea
  3. Cómo mejorar la velocidad de reporte de incidentes
  4. Cómo protegerse de esta amenaza

Reporte ineficiente de incidentes

Los investigadores que encontraron los datos filtrados intentaron comunicarse con Spoqa, la compañía a la que pertenecía Dodo Point en ese momento. Después de no recibir respuesta, se pusieron en contacto con el Equipo de Respuesta a Emergencias Informáticas de Corea. Una vez más, no obtuvieron respuesta. Los investigadores intentaron comunicarse con nuevos contactos en Spoqa y también informaron del incidente a Amazon Web Services, a los que tampoco obtuvieron respuesta.

Cómo proteger tu computadora de los virus: métodos y consejos

Finalmente, Yanolja se convirtió en el nuevo propietario de Dodo Point y pudo ser contactado. La compañía respondió rápidamente a los investigadores y dos días después se aseguró el bucket de Amazon.

Aunque el cambio de propiedad de Dodo Point probablemente dificultó las cosas, los incidentes de seguridad informática siempre deben ser atendidos, sin importar el contexto.

Exposiciones similares en línea

Los investigadores de Website Planet llevan a cabo un extenso proyecto de mapeo web. Como parte de este proyecto, utilizan escáneres web para identificar almacenes de datos no seguros en Internet antes de analizar y notificar estos almacenes a las empresas afectadas para que los aseguren y crear conciencia sobre los peligros de tales exposiciones.

Recientemente, Newsmatic informó sobre miles de bases de datos de Elasticsearch no seguras y expuestas que se mantenían como rehenes.

En 2017, se vieron afectados 27,000 servidores de MongoDB por un ataque similar. En 2018, una base de datos no segura perteneciente a una compañía de e-marketing expuso 11 millones de registros.

Estas exposiciones son bastante frecuentes y no es difícil para un atacante utilizar herramientas de escaneo en línea para buscar dichas bases de datos y descubrir datos expuestos que no están cifrados ni protegidos por ningún proceso de autenticación.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Estas exposiciones de datos pueden dar lugar a la explotación de datos personales para el cibercrimen: un atacante podría suplantar la identidad de un individuo o utilizar su información para atacarlos con trucos de phishing o ingeniería social específicos. Algunos actores maliciosos también podrían recopilar información que se pueda utilizar con fines de ciberespionaje.

Cómo mejorar la velocidad de reporte de incidentes

El caso expuesto aquí muestra una vez más que la gestión de incidentes solo puede ser eficiente cuando los investigadores pueden comunicarse de inmediato con las personas apropiadas en una empresa. Con las personas cambiando de empleo, puede ser difícil contactar a un individuo cuando sea necesario, pero existen soluciones.

El uso de una dirección de correo electrónico dedicada para problemas de seguridad puede ser la mejor solución. En abril de 2022, el Grupo de Trabajo de Ingeniería de Internet publicó su RFC 9116, que insta a las empresas a utilizar un archivo llamado security.txt que se almacenaría en texto claro y sería accesible a través de la World Wide Web para cualquier persona en la raíz de cada sitio web o en una carpeta llamada .well-known.

Google, Meta y GitHub ya utilizan este archivo para proporcionar contactos de seguridad a cualquier investigador que desee comunicarse con ellos para informar un problema de seguridad. El sitio web security.txt ofrece ayuda para que las empresas generen su archivo security.txt y proporciona más información sobre el proyecto.

Cómo protegerse de esta amenaza

Las empresas nunca deben exponer bases de datos en Internet si no es estrictamente necesario. Si es necesario, se deben implementar mecanismos de autenticación seguros, como la autenticación de múltiples factores.

Se deben establecer controles de acceso basados en roles y asignar los privilegios adecuados a cada usuario. Los datos almacenados en dichas bases de datos deben estar cifrados para que, incluso si un atacante logra acceder a los datos, estos sean inútiles para ellos.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Plataforma surcoreana expone datos de 1 millón de clientes: ¡Un llamado a la seguridad! , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.