Una empresa de inversiones de las Islas Caimán ha eliminado años de copias de seguridad, que hasta hace poco estaban fácilmente disponibles en línea gracias a un blob de Microsoft Azure mal configurado . La URL única del blob condujo a grandes almacenes de archivos que incluyen información bancaria personal, datos de pasaporte e incluso PIN de banca en línea, lo que, además de un problema de seguridad, presenta una posible pesadilla de relaciones públicas para una empresa en el negocio de finanzas offshore discretas y anónimas. actas.
El error masivo de ciberseguridad fue señalado por un investigador de The Register, que acordó no revelar el nombre del banco comprometido a cambio de detalles sobre cómo sucedió esto. Una vez que se entregó la evidencia al banco de los datos expuestos, la información se pasó a un empleado del banco con experiencia en informática universitaria, agrega el informe. No había nadie más en el personal dedicado específicamente a la ciberseguridad.
The Register agregó que el personal de la empresa "desconocía por completo" cómo funcionaba el blob de Azure (el blob de Azure es la solución de almacenamiento de respaldo de Microsoft que compite con el bucket de Amazon Web Services S3 y otras soluciones de almacenamiento en la nube). Toda la operación dependía completamente de un proveedor externo de ciberseguridad.
The Register dijo que la firma afirma que administra $ 500 millones en inversiones.
"Esta fue una solución de respaldo proporcionada por nuestro proveedor de TI en Hong Kong que consideramos una provisión de nube bastante normal", dijo el empleado del banco en respuesta a The Register. "¡Claramente hay algún problema aquí!"
Desde entonces, el proveedor de TI ha eliminado los datos.
La experta en ciberseguridad y legal Ilia Kolochenko, quien fundó y se desempeña como directora ejecutiva de ImmuniWeb, dijo que la firma de inversión debería esperar consecuencias de la infracción.
“Para este caso específico, la mayoría de las jurisdicciones probablemente considerarán este incidente como negligencia grave, exponiendo al fondo a una serie de demandas de los clientes”, dijo Kolochenko a Threatpost. “En el pasado, incidentes similares llevaron a quiebras debido al impacto irreparable en la reputación y la incapacidad de continuar las operaciones con clientes frustrados. También deberíamos esperar que varias agencias de aplicación de la ley, a cargo del enjuiciamiento por evasión fiscal o lavado de dinero, inicien una investigación de los documentos con fines de investigación ”.
Infracciones de configuración incorrecta de la nube
Independientemente del tipo o la marca del almacenamiento en la nube, los errores de configuración han afectado a todo tipo de empresas en los últimos meses.
La plataforma de reservas de hoteles Cloud Hospitality, que utilizan los hoteles para integrar sus sistemas con los sistemas de reservas en línea, expuso recientemente los datos de unos 10 millones de personas como resultado de un bucket de S3 de Amazon Web Services mal configurado .
La aplicación cristiana de suscripción Pray.com, que ha sido descargada por más de un millón de personas en Google Play, también expuso los datos personales de sus decenas de millones de clientes, incluida la información de pago enviada por los suscriptores para las donaciones. Aquí también, el culpable fue un bucket de AWS S3 mal configurado .
“A través de una investigación más profunda, nos enteramos de que Pray.com había protegido algunos archivos, configurándolos como privados en los depósitos para limitar el acceso”, dice el informe de vpnMentor sobre la violación. “Sin embargo, al mismo tiempo, Pray.com había integrado sus buckets S3 con otro servicio de AWS, la red de entrega de contenido (CDN) de AWS CloudFront. Cloudfront permite a los desarrolladores de aplicaciones almacenar en caché el contenido en servidores proxy alojados por AWS en todo el mundo, y más cerca de los usuarios de una aplicación, en lugar de cargar esos archivos desde los servidores de la aplicación. Como resultado, cualquier archivo en los depósitos S3 podría verse y accederse indirectamente a través de la CDN, independientemente de su configuración de seguridad individual ".
Los usuarios de Google Cloud han experimentado desafíos similares en la configuración de la nube . En septiembre pasado, una encuesta de Comparitech de 2,064 Google Cloud Buckets encontró que el 6 por ciento de los depósitos de Google Cloud están mal configurados y abiertos al público.
Es hora de aumentar la experiencia interna
Este panorama generalizado de vulnerabilidades en la nube es cada vez más amplio, ya que las empresas han tenido que cambiar rápidamente a una configuración de trabajo remoto a raíz de la pandemia. Y los actores malintencionados se han dado cuenta.
Según el informe de Accuris de la primavera pasada, el 93 por ciento de las implementaciones en la nube analizadas estaban mal configuradas y una de cada dos tenía credenciales desprotegidas almacenadas en archivos de configuración de contenedores.
"La única forma de reducir tales exposiciones es detectar y resolver las violaciones de políticas en una etapa temprana del ciclo de vida del desarrollo y garantizar que la infraestructura nativa de la nube se aprovisione de forma segura", recomienda el informe. "A medida que las organizaciones adoptan la infraestructura como código (IaC) para definir y administrar la infraestructura nativa de la nube, es posible codificar las verificaciones de políticas (políticas como código) en procesos de desarrollo".
Asegurar la nube y los datos confidenciales almacenados en ella debe convertirse en una prioridad máxima en todos los niveles de las organizaciones, tanto para proteger la reputación empresarial como para los resultados finales, advirtieron los investigadores.
“Innumerables organizaciones de todos los tamaños mueven ciegamente sus datos a la nube sin la capacitación adecuada de su personal de TI”, agregó Kolochenko. “Eventualmente, esto conduce incluso a desastres más grandes que las violaciones de datos criminales. Peor aún, los ciberdelincuentes son muy conscientes de la gran cantidad de instancias en la nube mal configuradas y monitorean continuamente todo Internet en busca de frutos tan fáciles de alcanzar. Dichos ataques, a menos que los expongan los medios de comunicación o los investigadores de seguridad, son virtualmente indetectables y, por lo tanto, extremadamente peligrosos: la integridad de sus secretos comerciales y la mayoría de los datos confidenciales pueden caer repentinamente en manos de sus competidores, actores estatales maliciosos y el crimen organizado ".
Fuente: https://threatpost.com/cayman-islands-bank-records-exposed-azure-blob/161729/