Investigadores han descubierto otra gran base de datos que contiene millones de registros de clientes europeos dejados sin asegurar en Amazon Web Services (AWS) para que cualquiera los encuentre usando un motor de búsqueda.
Un total de ocho millones de registros estaban involucrados, recolectados a través de APIs de mercados y sistemas de pago pertenecientes a compañías como Amazon, eBay, Shopify, PayPal y Stripe.
Descubierta por el célebre experto de Comparitech, Bob Diachenko, la instancia de AWS que contiene la base de datos MongoDB se hizo visible el 3 de febrero, donde permaneció indexada por los motores de búsqueda durante cinco días.
Los datos de los registros incluían nombres, direcciones de envío, direcciones de correo electrónico, números de teléfono, artículos comprados, pagos, identificaciones de pedidos, enlaces a las facturas de Stripe y Shopify, y tarjetas de crédito parcialmente redactadas.
También se incluyeron miles de consultas a los Servicios Web del Mercado de Amazon (MWS), un token de autenticación de MWS, y un ID de clave de acceso a AWS.
Debido a que un solo cliente puede generar múltiples registros, Comparitech no pudo estimar cuántos clientes podrían verse afectados.
Alrededor de la mitad de los clientes cuyos registros se filtraron son del Reino Unido; por lo que sabemos, la mayoría, si no todos los demás, son de otros lugares de Europa.
¿Cómo sucedió esto?
Según Comparitech, la empresa anónima implicada era un tercero que realizaba análisis transfronterizos del impuesto sobre el valor añadido (IVA).
Es decir, una empresa de la que ninguno de los clientes afectados habría oído hablar o con la que tendría alguna relación:
Esta exposición ejemplifica cómo, al entregar los detalles personales y de pago a una empresa online, esa información a menudo pasa por las manos de varios terceros contratados para procesarla, organizarla y analizarla. Rara vez estas tareas son realizadas únicamente en casa.
Las consultas de Amazon podrían utilizarse para consultar la API de MWS, dijo Comparitech, permitiendo potencialmente a un atacante solicitar registros de las bases de datos de ventas. Por esa razón, recomendó que las empresas involucradas cambien inmediatamente sus contraseñas y claves.
Amazon comenzó a investigar la violación el día en que se le reveló, y la tercera empresa implicada cerró la base de datos el 8 de febrero.
Aunque no hay pruebas de que nadie haya accedido a los datos durante los días en que se dejaron sin asegurar, es imposible estar seguro de ello.
Es simplemente el último ejemplo de lo fácil que es dejar datos sensibles en un estado no seguro en plataformas de almacenamiento en la nube.
Ejemplos anteriores descubiertos por Comparitech y Diachenko incluyen:
- Un total de 250 millones de registros de soporte al cliente de Microsoft que datan de 2005 se dejaron expuestos en Elasticsearch.
- Una base de datos que contiene 267 millones de ID de usuarios de Facebook, números de teléfono y nombres dejados expuestos en Elasticsearch.
- Una base de datos de correos electrónicos de 5 millones de clientes de Adobe Creative Cloud dejada expuesta en un servidor de Elasticsearch (octubre de 2019).
- Los detalles personales de 57 millones de estadounidenses salieron en una base de datos de marketing en Elasticsearch.
El número de este tipo de brechas parece estar creciendo en alcance y número en el último año. La defensa actual contra este problema ahora mismo es simplemente que los investigadores los publiquen antes que los criminales. Eso tiene que cambiar antes de que se produzca un daño real.
Dejar un comentario