1,500 millones de archivos confidenciales están expuestos por configuraciones deficientes
Investigadores descubrieron que más de 1.5 mil millones de archivos confidenciales, incluida información sobre nóminas, detalles de tarjetas de crédito, datos médicos y patentes de propiedad intelectual están expuestos en línea, poniendo a los consumidores y empresas en riesgo de robo, cibercrimen y espionaje.
Pero la información expuesta en línea -que asciende a un total de 12,000 terabytes de datos- no existe como resultado de piratería u otra actividad de ciberdelincuencia, sino que se ha almacenado en lugares disponibles públicamente, que van desde Amazon Simple Storage Service (Amazon S3 ) cubetas, rysnc, servidores SMB y FTP, sitios web mal configurados y unidades NAS inseguras.
En solo los primeros tres meses de 2018, un total de 1,550,447,111 archivos expuestos han sido detectados por los investigadores de Digital Shadows, quienes describieron los hallazgos en un nuevo informe.
Mientras las organizaciones han dejado datos expuestos en casi todos los países del mundo, Estados Unidos es el país más afectado por el problema, con 239,607,590 archivos expuestos, que representan el 16 por ciento del total.
Sin embargo, cuando se combinaron en una sola entidad, se descubrió que los países de la Unión Europea expusieron la mayor cantidad de datos, con 537,720,919 archivos disponibles públicamente en línea, lo que representa 37% de los datos totales.
Una de las formas más comunes de datos personales identificables que se encontraron expuestos fueron los archivos de nómina y declaración de impuestos, que representaron 700,000 y 60,000 archivos respectivamente. Si se abusa, esta información confidencial podría usarse para cometer fraude, robo de identidad u otro delito financiero.
Sin embargo, los datos expuestos no se limitan a la información financiera: los investigadores encontraron más de dos millones de archivos .dcm - Imágenes digitales y comunicaciones en medicina - archivos expuestos en un solo puerto SMB abierto en Italia.
Estos podrían contener información de salud, datos altamente personales que los pacientes definitivamente no apreciarían quedar expuestos.
En un caso, una gran cantidad de datos del terminal de punto de venta, que incluía transacciones, horarios, lugares e incluso datos de tarjetas de crédito, estaban a disposición del público.
Digital Shadows también descubrió grandes cantidades de propiedad intelectual y otros datos corporativos que quedaron expuestos, algo que el informe llama "espionaje corporativo facilitado".
Con el fin de garantizar que la información no se ponga directamente en manos de espías y otras personas interesadas en realizar el ciberespionaje, Digital Shadows no ha entrado en los detalles de la información descubierta.
Sin embargo, en un caso, se encontró una patente para un producto de energía renovable que aún no se había lanzado en un documento etiquetado como "estrictamente confidencial" y que contenía imágenes e información detalladas sobre la patente.
Esto marca solo una instancia de planes confidenciales que se cargan públicamente como resultado de una copia de seguridad accidental de los datos en servidores abiertos SMB y FTP, rsync y Amazon S3.
Por lo tanto, si bien las organizaciones podrían preocuparse de que los grupos de piratería y otros actores sofisticados de amenazas pudieran estar apuntando a su IP, la realidad es que ya podrían haber lanzado esa información ellos mismos.
"Mientras nos centramos en responder a los adversarios que realizan intrusiones en nuestros entornos y silenciosamente exfiltramos nuestros datos, no nos estamos centrando en nuestras huellas digitales externas y los datos que ya están disponibles públicamente a través de servicios mal configurados", dijo Rick Holland, jefe de seguridad de la información oficial en Digital Shadows.
"El volumen de esta exposición de datos sensibles debe ser una causa importante de preocupación para cualquier organización consciente de la seguridad y la privacidad. Además, con la GDPR acercándose rápidamente, existen claras implicaciones regulatorias para cualquier organización con datos de ciudadanos de la UE", agregó.
Aunque ya se han expuesto grandes cantidades de datos debido a una configuración incorrecta, el informe sugiere que se puede utilizar la capacitación y aumentar la conciencia para garantizar que los datos se almacenen de forma más segura.