Viacom, la popular compañía de medios y entretenimiento que es dueña de Paramount Pictures, Comedy Central, MTV, y cientos de otras propiedades, ha expuesto las llaves de su reino en un inseguro servidor S3 de Amazon.

Un investigador de seguridad que trabaja para la firma UpGuard recientemente descubrió un servidor web Amazon S3 de almacenamiento en la nube mal configurado, que contenía gigabytes de credenciales y archivos de configuración para el backend de docenas de propiedades de Viacom.

Estas credenciales descubiertas por el investigador de UpGuard Chris Vickery hubieran sido suficiente para que atacantes derribaran la infraestructura interna de Viacom y su presencia en Internet, permitiendo acceder a servidores de MTV, Paramount y Nickelodeon.

Entre los datos expuestos en la filtración se encontraba la llave maestra de Viacom para la cuenta de servicios Web en Amazon y las credenciales necesarias para mantener los servidores de muchas subsidiarias y docenas de marcas.

En otras palabras, las llaves secretas de acceso de la cuenta AWS (Amazon Web Server) de la compañía hubieran permitido a delincuentes comprometer los servidores de almacenamiento y bases de datos dentro de la cuenta.

De acuerdo al análisis realizado por UpGuard, varias instancias de la nube utilizadas dentro de la cadena de herramientas de la compañía, incluyendo Docker, Splunk, New Relic y Jenkins, pudieron haber sido comprometidas de esta manera.

Adicionalmente a estas filtraciones, el servidor desprotegido contenía también llaves GPG para descifrar, las cuales pueden ser usada para descifrar datos sensibles. Sin embargo, el servidor no contenía ninguna información de clientes o empleados.

A pesar de que no está claro si hackers pudieron explotar esta vulnerabilidad, la firma Viacom dice que no hay evidencia de que alguien haya abusado de los datos.

Todas las credenciales han sido cambiadas después que UpGuard contactara a los ejecutivos de Viacom de forma privada y el servidor dentro de poco fue asegurado.

Esta no es la primera vez que Vickery ha descubierto datos sensibles de compañías guardados en servidores inseguros AWS S3.

Artículos relacionados: 

• Privacidad de la información en la nube
• Perspectivas: Todo depende del cristal con que se mire la nube