11 abr. 2016

Información de clientes de Verizon publicada y vendida

Verizon Enterprise Solutions, ha perdido alrededor de 1,5 millones registros de clientes luego de conocerse una brecha de seguridad que permitió acceder públicamente a una base de datos de 50 GB, sin protección, contraseña o autenticación previa.
El investigador de seguridad Chris Vickery, de MacKeeper, descubrió la base de datos en diciembre. Todo lo que se necesitaba para acceder era un cliente de MongoDB y la dirección IP de la base.

Por su parte, Verizon dijo que la base de datos contenía información no sensible y ya disponible públicamente: "La mayoría de los datos son de referencia, incluyendo títulos, descripciones, disponibilidad y otros metadatos asociados a la programación de FiOS ya disponibles en FiOS lineups y TV listing sites."

Después de notificar a Verizon su intención de publicar la información, Vickery recibió una respuesta: "El equipo de Verizon PR afirmó que esta base de MongoDB era sólo un entorno de pruebas con datos ficticios, material de referencia no sensibles, y exclusivamente utilizadosen entornos de prueba".

Esta es una afirmación con la cual Vickery no está de acuerdo porque dice que los 50 Gigas de datos (ahora purgados) tienen algunas de las tablas de la base de datos de producción. "Las empresas, cuando están con sus pantalones abajo, casi siempre afirman que los datos expuestos son ficticios, o de un entorno de prueba. Es una excusa fácil para descargar su vergüenza y su responsabilidad."

Vickery dijo que Matteo de Verizon más tarde le dijo, que él tenía razón, y que la situación representa un escenario de "incumplimiento de híbrido".

Según Vickery, "había datos de producción en un entorno de prueba". El 6 de noviembre pasado, hubo algún tipo de interrupción en el servicio de Verizon y la base de datos de prueba fue llenada con algunos de datos de producción. Esta base fue utilizada para solucionar los problemas pero luego no fue adecuadamente sacada de línea.

La semana pasada, información de los clientes y de esta base de datos MongoDB de VES, incluyendo algunas de las principales compañías de Fortune 500, fue encontrado a la venta en un foro de ciberdelincuencia, por un precio de U$S 100.000. Brian Krebs dijo que se podía comprar todo el paquete o algunos trozos de información de 100.000 registros por U$S10.000 cada uno. También había a la venta información sobre vulnerabilidades de seguridad en el sitio web de Verizon.

La ironía de esta fuga es que existe un informe anual de fuga de datos de Verizon que cada año está lleno estudios sobre casos de violaciones reales y casos que incluyen duras lecciones sobre la privacidad de los datos. ¿Qué dirán sobre ellos mismos?

Fuente: Infosecurity Magazine

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!