Cuando la seguridad es más un gasto que una inversión: mil quinientos millones de archivos sensibles expuestos

A solo un mes de que entre en vigor el Reglamento General de Protección de Datos de la Unión Europea, investigadores de seguridad encontraron 1.500 millones de archivos de empresas y consumidores en línea.

Durante los primeros tres meses de 2018, la empresa de inteligencia de amenazas Digital Shadows detectó 1.550.447.111 archivos disponibles públicamente en buckets de Amazon Simple Storage Service (S3), rsync, Server Message Block (SMB), servidores FTP, sitios web mal configurados y unidades Network Attached Storage (NAS).

Esto incluye documentos que abarcan datos de nómina, declaraciones de impuestos, registros médicos, tarjetas de crédito y propiedad intelectual. Sorprendentemente unos 64.176.425 archivos son solo del Reino Unido.

Esto representa 12 PB (12.000 TB) de datos expuestos — Más de 4.000 veces lo que se filtró por los Panama Papers, que fueron tan solo 2,6 TB.

Los datos más comunes expuestos fueron los archivos de nómina y declaraciones de impuestos, que representaron 700.000 y 60.000 archivos respectivamente. Sin embargo, los consumidores también estuvieron en riesgo de 14.687 instancias de información de contacto filtrada y 4.548 listas de pacientes. Un gran volumen de datos de terminales de puntos de venta (transacciones, horarios, lugares e incluso algunos detalles de tarjetas de crédito) estaba a públicamente disponible.

En este estudio (se requiere registro), las filtraciones de sistemas cloud representaron solo el 7% de los datos expuestos. Por el contrario, las tecnologías más antiguas, aunque todavía ampliamente utilizadas, como SMB (33 por ciento), rsync (28 por ciento) y FTP (26 por ciento), son las que más han contribuido.

También se filtró información crítica de empresas. Por ejemplo, se descubrió un resumen de patente para energía renovable en un documento marcado como “estrictamente confidencial”. Otro caso incluía un documento que contenía un código fuente propietario enviado como parte de una solicitud de derechos de autor. Este archivo incluye el código que describe el diseño y el flujo de trabajo de un sitio que proporciona el software Electronic Medical Records, así como detalles sobre la solitud de derechos de autor.

Terceros y contratistas fueron identificados como una de las fuentes más comunes de exposición de datos sensibles. La información filtrada incluyó evaluaciones de seguridad y pruebas de penetración. Además, Digital Shadows identificó dispositivos de backup de consumidores que fueron configurados incorrectamente quedando accesibles a Internet e inadvertidamente hicieron pública la información privada.

Digital Shadows ha intentado notificar a las organizaciones que estaban filtrando datos.

“Tenemos un proceso responsable de divulgación en marcha y hemos alertado a algunas de las organizaciones”, dijo Rick Holland. “No siempre pudimos atribuir los datos a organizaciones específicas y la escala también fue problemática”
.

Algunos de los archivos identificados como filtrados podrían estar encriptados, pero el alcance de esto no está claro.

“Hicimos un muestreo de los datos y encontramos algunos archivos de copia de seguridad o archivos empaquetados que fueron encriptados”, agregó Holland. “A medida que continuamos desarrollando nuestro framework de recopilación y análisis, podríamos investigar más sobre el software específico de encriptación (dado que usan extensiones únicas)”.