Como consecuencia de una reciente brecha de datos masiva que involucra alrededor de 976 millones de registros, fueron expuestos cerca de un millón de archivos almacenados en una base de datos de la compañía automotriz Honda, los cuales contenían diversos detalles sobre miles de vehículos y sus propietarios, reportan especialistas en seguridad de aplicaciones web.
En el informe se menciona que no era necesario ingresar una contraseña o cualquier otro método de autenticación para acceder a la base de datos, por lo que ésta se encontraba completamente expuesta para cualquier usuario.
Bob Diachenko, reconocido investigador y experto en seguridad de aplicaciones web, dedicado a la búsqueda de información comprometida, fue el encargado de reportar el incidente, después de identificar un clúster de Elasticsearch sin protección, mismo que almacenaba los 976 millones de registros, todos pertenecientes a Honda en América del Norte.
Diachenko menciona que la base de datos habría permanecido expuesta por al menos una semana, tiempo más que suficiente para que algún actor de amenazas haya accedido a la información, copiarla y almacenarla con fines maliciosos.
Entre los detalles personales expuestos durante el incidente destacan:
- Nombres completos
- Domicilio
- Números telefónicos
- Dirección email
- Marca y modelo del vehículo
- Número de placas del vehículo
- Registros sobre servicios de mantenimiento
Firmas de seguridad de aplicaciones web han reportado en anteriores ocasiones incidentes similares debido a omisiones del personal de Honda. Acorde a Chris DeRamus, de la firma DivvyCloud, reporta que: “En enero de 2019 se detectó una brecha de datos pertenecientes a la compañía automotriz. La base de datos se encontraba completamente expuesta”, afirmó el experto.
Las configuraciones de seguridad erróneas al habilitar una base de datos son la principal causa de los incidentes de exposición de información, pues se estima que más de la mitad de estos incidentes podrían evitarse si el personal encargado de administrar estas implementaciones habilitara las medidas adecuadas.
No obstante, las características inherentes a esta clase de implementaciones generan desconocimiento de los usuarios, por lo que las mejores prácticas de seguridad, aunque existan y estén listas para ser habilitadas, no se utilizarán, puesto que los usuarios ignoran que siquiera están disponibles, afirman los especialistas en seguridad de aplicaciones web.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que la prevención de estas configuraciones erróneas reduciría notablemente los incidentes de exposición de información de bases de datos en cualquier compañía.
The post Honda es hackeada; detalles personales de más de 976 millones de clientes filtrados appeared first on Noticias de seguridad informática.
Ver Fuente
No hay comentarios.:
Publicar un comentario