por: Jonatán Isúi Estrada Pichardo
Security Discovery el 22 de enero del 2019 identifico una base de datos de MongoDB sin contraseña de 6GB o casi 5 millones de documentos, que entre otros tenia Comprobantes Fiscal Digital por Internet (CFDI), y otros documentos como recibos de nomina que incluyen otros datos como CURP, numero de seguro social y el salario. Security Discovery no logro identificar al dueño de la base de datos y empezaron a analizar los datos para encontrar quien dejo desatendida a la base de datos.
Security Discovery el 22 de enero del 2019 identifico una base de datos de MongoDB sin contraseña de 6GB o casi 5 millones de documentos, que entre otros tenia Comprobantes Fiscal Digital por Internet (CFDI), y otros documentos como recibos de nomina que incluyen otros datos como CURP, numero de seguro social y el salario. Security Discovery no logro identificar al dueño de la base de datos y empezaron a analizar los datos para encontrar quien dejo desatendida a la base de datos.
Hubo 41 empresas afectadas entre las cuales estan:
- GENERAL DE SEGUROS, S.A.B. : con 657 300 documentos filtrados
- CARL ZEISS VISION MANUFACTURA DE MEXICO S. DE RL DE CV: con 539 211 documentos filtrados
- Cummins Grupo Industrial, S. de R.L. de C.V.
Esto fue principalmente posible debido a que los servidores MongoDB no tienen forma de autentificar usuarios lo que permite instalar malware o ransomware a distancia. La configuración publica le daba derechos de administrador en la base de datos y una vez instalado el malware, los cibercriminales podían hacer lo que quieran con los datos.
Se contacto a una de la empresa que fue afectada para poder localizar al dueño de la base de datos pero hoy ya no esta disponible esta base de datos. El problema fue que después de casi 48 horas de estar expuesta esta base de datos en el Internet, fue secuestrada. En una nota de rescate se exigía el pago de 0.5 BTC para devolver los datos que equivalen a aproximadamente 36 mil pesos, sin embargo existe una alta probabilidad de que la información haya sido comprometida. La base de datos a pesar de ya estar expuesta, fue indexada por motores de búsqueda lo que facilito el acceso a cualquier persona debido a la falta de credenciales para acceder.
La base de datos cerro el 30 de enero después de que Security Discovery junto con una de las empresas supuestamente encontraron al dueño de la base de datos y están colaborando con el INAI Mexico (Instituto Nacional de transparencia y Acceso a la Información.
Por que paso esto y que puede pasar?
Esto fue un claro ejemplo de un mal manejo de la información y su importancia, según la norma ISO 27001, establece que cada empresa dependiendo de su tamaño debe definir sus criterios de clasificación. Primero se debe conocer que tipo de información se va a manejar y quien es el responsable, posteriormente se debe clasificar la información, los niveles dependen del tamaño de la empresa y se debe clasificar la información en estos niveles según el carácter confidencial de la misma. Se debe etiquetar la información ya que se clasificó y por ultimo definir una serie de reglas que guíen sobre como proteger cada tipo de información según el nivel de confidencialidad de cada una.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares es una ley que busca proteger los datos de las personas y de el manejo de los mismos, también establece las sanciones a las que estarán sujetas las personas que hagan mal uso o no protejan la información de las personas.
Fuentes:
https://securitydiscovery.com/large-eaccounting-data-breach-in-mexico/
https://www.pmg-ssi.com/2017/09/iso-27001-clasificacion-de-la-informacion-2/?fbclid=IwAR15J1CLe3ztbdmvg88-Ty1TIEGTf052PxGvvGBef6ZmYd0F9DFtPe2Koes
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
No hay comentarios.:
Publicar un comentario