El desarrollador de aplicaciones comerciales no sigue las prácticas básicas de seguridad
(Crédito de la imagen: KAUST)
Gracias a las prácticas de seguridad cuestionables de un desarrollador de aplicaciones, más de medio millón de documentos confidenciales de sus clientes quedaron expuestos en Internet. Los documentos estaban alojados en un almacenamiento blob de Microsoft Azure sin protección y podían ser vistos por cualquier persona con la dirección directa de los archivos, sin ningún tipo de autenticación.
Azure Blob Storage es una característica de Microsoft Azure que permite a los usuarios almacenar grandes cantidades de datos no estructurados en la plataforma de almacenamiento de datos de Microsoft.
El blob no protegido fue administrado por el desarrollador de aplicaciones Probase con sede en Surrey y, según The Register , contenía 587,000 archivos, que van desde correos electrónicos respaldados hasta cartas, hojas de cálculo, capturas de pantalla y más.
Prácticas de seguridad cuestionables
The Register se enteró de la mancha insegura gracias al investigador de seguridad Oliver Hough, quien se asustó por la falta de controles de seguridad.
"Encontrar un depósito de almacenamiento como este, en el que un proveedor ha agrupado todos los archivos de sus clientes en un único depósito en lugar de crear un almacenamiento separado para cada cliente, demuestra cómo, en 2020, todavía no se siguen los conceptos básicos del diseño seguro", dijo Hough. El registro .
El blob contenía evaluaciones de salud ocupacional, documentos de reclamos de seguros de firmas estadounidenses respaldados por Lloyds of London y opiniones privadas de abogados senior sobre colegas junior que solicitaban un ascenso.
Sin embargo, lo que es más preocupante, el blob también incluía documentación de seguridad de envío de FedEx, junto con datos médicos altamente confidenciales y al menos un escaneo de pasaporte.
Cuando se le acercó, el director de Probase, Paul Brown, no comentó cuánto tiempo había estado sin asegurar la mancha, pero compartió que están trabajando en estrecha colaboración con la Oficina del Comisionado de Información para resolver el problema.
Prácticas de seguridad cuestionables
The Register se enteró de la mancha insegura gracias al investigador de seguridad Oliver Hough, quien se asustó por la falta de controles de seguridad.
"Encontrar un depósito de almacenamiento como este, en el que un proveedor ha agrupado todos los archivos de sus clientes en un único depósito en lugar de crear un almacenamiento separado para cada cliente, demuestra cómo, en 2020, todavía no se siguen los conceptos básicos del diseño seguro", dijo Hough. El registro .
El blob contenía evaluaciones de salud ocupacional, documentos de reclamos de seguros de firmas estadounidenses respaldados por Lloyds of London y opiniones privadas de abogados senior sobre colegas junior que solicitaban un ascenso.
Sin embargo, lo que es más preocupante, el blob también incluía documentación de seguridad de envío de FedEx, junto con datos médicos altamente confidenciales y al menos un escaneo de pasaporte.
Cuando se le acercó, el director de Probase, Paul Brown, no comentó cuánto tiempo había estado sin asegurar la mancha, pero compartió que están trabajando en estrecha colaboración con la Oficina del Comisionado de Información para resolver el problema.
Esta es solo una de las últimas instancias de filtraciones de datos a través del almacenamiento de blobs de Azure de Microsoft. Si bien la carga de esta exposición recae principalmente en Probase, también existe el hecho de que Microsoft Azure permite a los desarrolladores descuidados crear silos de datos tan inseguros.
Fuente: https://www.techradar.com/amp/news/microsoft-azure-breach-left-thousands-of-customer-records-exposed