Almacenes S3 expuestos, incluidos datos de Microsoft de los últimos 14 años

En la última semana, hubo una serie de filtraciones de datos que han implicado una vez más a los almacenes S3 de Amazon mal asegurados, incluido un caso de Microsoft. La falta de cuidado para configurar correctamente los entornos de nube se ha destacado una vez más por dos fugas de datos graves en el Reino Unido y una hoy de base de datos de Microsoft.

Como configuración predeterminada, los buckets de Amazon S3 son privados y solo pueden acceder personas que tienen acceso explícito a sus contenidos, por lo que su exposición continua apunta al hecho preocupante de que los mensajes consistentes en torno a la política, implementación y configuración de seguridad en la nube no están funcionando llegar a muchos profesionales de TI.

La primera fuga se relacionó con varias firmas consultoras del Reino Unido. Esto fue descubierto por Noah Rotem y Ran Locar, investigadores de vpnMentor, quienes descubrieron información como pasaportes, documentos fiscales, verificación de antecedentes, solicitudes de empleo, reclamos de gastos, contratos, correos electrónicos y detalles salariales relacionados con miles de consultores que trabajan en el Reino Unido.

El propietario del conjunto de datos no estpa claro, pero Rotem y Locar (que el año pasado revelaron un caso similar que afecta a millones de ciudadanos ecuatorianos) pudieron rastrearlo hasta una misteriosa compañía llamada CHS Consulting. La base de datos contenía datos de varias otras firmas consultoras, algunas de las cuales ahora han dejado de operar. La mayoría de los datos se recopilaron entre 2014 y 2015, aunque algunos archivos datan de 2011.


La segunda fuga fue de un cubo perteneciente a Fresh Film, una productora con sede en el Reino Unido, que se especializa en comerciales de televisión para marcas de salud y belleza. Según Verdict, que informó por primera vez la historia, Fresh Films accidentalmente expuso datos sobre 40 actores que habían aparecido en un comercial de 2017 para la marca Dove de Unilever, así como detalles sobre el equipo de producción y los miembros del equipo.

Caso de Microsoft

Si alguna vez ha contactado con Microsoft para obtener asistencia en los últimos 14 años, su consulta técnica, junto con alguna información de identificación personal, podría haberse visto comprometida. Microsoft admitió hoy un incidente de seguridad que expuso casi 250 millones de registros de "Servicio y soporte al cliente" (CSS) en Internet debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte y los clientes.

Según Bob Diachenko, el investigador que detectó la base de datos desprotegida e informó a Microsoft, los registros contenían datos que abarcaban desde 2005 hasta diciembre de 2019. En una publicación de blog, Microsoft confirmó que debido a las reglas de seguridad mal configuradas agregadas al servidor en cuestión el 5 de diciembre de 2019, permitió la exposición de los datos, que se mantuvo igual hasta que los ingenieros remediaron la configuración el 31 de diciembre de 2019.

Fuente: THN