El 58% de las organizaciones no reconocen las revelaciones de violaciones de datos
Los investigadores de Comparitech escanean periódicamente Internet en busca de bases de datos expuestas. Cuando descubrimos tales exposiciones, nuestro objetivo es revelar los incidentes a las partes responsables para que puedan tomar las medidas necesarias para proteger los datos filtrados. En última instancia, queremos minimizar el impacto para los usuarios finales cuya información se ha filtrado.
Después de realizar un seguimiento de los tiempos de respuesta a las alertas, descubrimos que más de la mitad de las empresas no envían una respuesta a las notificaciones de exposición de datos. Según los investigadores de Comparitech, en 502 incidentes de datos estudiados,Sólo 210 organizaciones enviaron respuesta a nuestras alertas.. La mayoría de ellos tardaron un día en responder, pero otros esperaron hasta 17 días antes de responder.
Las exposiciones estudiadas resultaron de bases de datos no seguras, abiertas al acceso público. Las bases de datos vulnerables pueden permitir que partes no autorizadas accedan a los datos, lo que lleva a violaciones de datos que ponen en peligro la privacidad y la seguridad de aquellos cuya información está almacenada en ellas.
Los detalles contenidos en algunas de las bases de datos que hemos descubierto incluyen credenciales de inicio de sesión de la cuenta (nombres de usuario y contraseñas), información personal como nombre, fecha de nacimiento, dirección, número de teléfono y número de seguro social (SSN), información médica, datos bancarios, y más.
El estudio sobre el estado de la divulgación de violaciones de datos
Tan pronto como se descubre una fuga, tomamos medidas para identificar al propietario de la base de datos y alertarlo sobre la exposición. Cuando es posible, también investigamos el contenido de las bases de datos filtradas y determinamos qué detalles estuvieron expuestos y a quién pertenece la información. Idealmente, los propietarios de la base de datos reaccionan rápidamente a nuestras alertas cerrando el acceso público a la información y notificando a las partes interesadas.
En algunos casos, el tiempo de respuesta es muy rápido. A menudo recibimos un acuse de recibo agradeciéndonos la divulgación y la garantía de que la base de datos está segura (lo cual luego verificamos). Sin embargo, en muchos casos recibimos una respuesta tardía o ninguna.
Para estudiar el estado de las divulgaciones de violaciones de datos, realizamos un seguimiento de los tiempos de respuesta a las alertas durante los últimos 12 meses.El 23 por ciento (115) de las organizaciones reconocieron nuestras alertas dentro de las 24 horas.El 12 por ciento (58) tardó dos días en responder y el dos por ciento (10) envió un acuse de recibo en un plazo de tres días. Otro cinco por ciento (27) tardó entre cuatro y 17 días en responder a la divulgación. El 58 por ciento (292) no reconoció nuestra alerta en absoluto.
En los casos en los que no se recibió acuse de recibo, se continuó con el seguimiento. Descubrimos que todas las bases de datos finalmente fueron aseguradas o destruidas por un ataque de bot (más sobre esto a continuación). Las razones de la falta de reconocimiento no están claras, pero en algunos casos, las empresas pueden intentar evitar la admisión de una infracción para “silenciar” el incidente. En otros casos, en particular en algunos de aquellos en los que observamos ataques de bots, parece que nuestras alertas han sido ignoradas.
La gran mayoría de las bases de datos expuestas que descubrimos fueron bases de datos Elasticsearch (182) y MongoDB (229).Estos son los dos tipos de bases de datos más populares utilizados para administrar datos NoSQL, por lo que no sorprende que aparezcan en gran medida en nuestro conjunto de datos. Si bien estas opciones ofrecen sólidas funciones de seguridad, las configuraciones incorrectas pueden dejarlas expuestas involuntariamente. Otros tipos de aplicaciones bastante comunes descubiertos en nuestra investigación incluyeron Kafka (13), Jenkins (11), Zeppelin (13) y Zookeeper (12).
Por qué es importante actuar rápidamente en respuesta a las filtraciones de datos
Entonces, ¿realmente importa uno o dos días? Sí.
Según nuestra investigación, el tiempo de reacción es crucial. En un estudio anterior, montamos un honeypot que consiste en una simulación de base de datos Elasticsearch expuesta. Los atacantes accedieron a los datos filtrados en un plazo de ocho horas.
Lo dejamos expuesto unos 10 días yfue atacado 175 veces durante ese período, un promedio de 18 veces por día. En resumen, un tiempo de respuesta rápido puede reducir drásticamente el riesgo de exposición de datos confidenciales.
Tenga en cuenta que el tiempo de respuesta no indica cuánto tiempo han estado expuestos los datos, ya que podrían haber sido accesibles abiertamente antes de que nuestros investigadores los descubrieran. Los resultados de nuestro experimento de honeypot indicaron que los atacantes buscan activamente estas exposiciones.
Una forma en que los atacantes encuentran bases de datos expuestas es monitorear los motores de búsqueda de Internet de las cosas (IoT), como Shodan y Binary Edge. De hecho, descubrimos que el día en el que se produjo el mayor número de ataques fue el mismo día en que nuestro honeypot fue indexado en Shodan. Sin embargo, en ese estudio,Se accedió a los datos docenas de veces antes de que la base de datos apareciera en cualquiera de estos motores de búsqueda.. Esto implica que los atacantes están siendo proactivos y utilizan sus propias herramientas de escaneo para encontrar bases de datos vulnerables, en lugar de confiar únicamente en los motores de búsqueda de IoT.
Una vez que los actores malintencionados tienen en sus manos los datos expuestos, pueden utilizarlos para una variedad de propósitos nefastos. Algunos utilizarán la información directamente en delitos cibernéticos como esquemas de phishing , fraude, robo de identidad, extorsión y más. Otros publicarán información para la venta en mercados clandestinos como los que se encuentran en la red oscura. Por ejemplo, datos de la tarjeta de crédito. puede costar entre 5 y 35 dólares por juego en la web oscura, y los datos “fullz” (que incluyen nombre, fecha de nacimiento, dirección, número de teléfono, número de seguro social y más) pueden generar un delito criminal de entre 14 y 60 dólares por conjunto.
Además del robo de datos, las bases de datos están sujetas a otros tipos de ataques. Por ejemplo, en nuestro experimento de honeypot, nuestra base de datos fue atacada por un bot malicioso que eliminó el contenido de la base de datos y solicitó el pago de un rescate. Otros ataques observados por el equipo involucraron criptojacking, robo de credenciales y cambios de configuración. Otro experimento de honeypot dirigido por investigadores de Comparitech ilustra aún más los tipos de solicitudes maliciosas enviadas a servidores no seguros.
Leyes relativas a la divulgación pública de violaciones de datos
Puede ser alarmante ver que sólo nuestros investigadores han descubierto cientos de violaciones de datos en los últimos 12 meses. Y quizás se pregunte en cuántas de estas filtraciones han estado involucrados sus propios datos. Eso nos lleva a la divulgación pública de las filtraciones. En muchos casos, creamos un informe público que detalla una filtración que hemos descubierto para ayudar a alertar a los afectados.Pero ¿cuál es la responsabilidad de la organización afectada en materia de divulgación?
Aquí, echamos un vistazo a algunas de las leyes vigentes diseñadas para responsabilizar a las empresas de revelar públicamente infracciones y alertar a los usuarios finales. Tenga en cuenta que esto no constituye asesoramiento legal y le recomendamos que busque información adicional de fuentes oficiales.
A NOSOTROS
En EE.UU., cada estado tiene sus propias leyes con respecto a la divulgación de violaciones de datos. En general, la mayoría sigue el ejemplo de California, que fue el primer estado en promulgar una ley de este tipo. Según esta y otras leyes similares,Las empresas generalmente están obligadas a revelar una violación de datos a las partes afectadas por escrito., inmediatamente después de que se haya descubierto la infracción.
Las infracciones también deben informarse al Fiscal General del estado, pero los criterios para informar varían. Por lo general, se deben informar las infracciones de cierto tamaño (por ejemplo, aquellas que afectan a más de 500 o 1.000 personas). Dependiendo del estado, las infracciones solo deben informarse si existe la posibilidad de que una persona no autorizada haya accedido a la información y la infracción pueda causar un daño sustancial.
UE
Según el Reglamento General de Protección de Datos (GDPR), en general, las violaciones de datos que involucran informacion personal debe ser reportado a la autoridad pertinente dentro de las 72 horas siguientes al descubrimiento. Como lo describe el Oficina del Comisionado de Información del Reino Unido (ICO) : “Si es probable que la infracción genere un alto riesgo de afectar negativamente los derechos y libertades de las personas, también debe informar a esas personas sin demora indebida”.
Canada
Según la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), las infracciones deben ser informado al Comisionado de Privacidad de Canadá si una evaluación de la organización afectada indica que la violación causa un riesgo real de daño significativo (RROSH) a un individuo.Las personas afectadas por la infracción deben ser notificadas directamente(excepto en ciertos casos donde Se permite la notificación indirecta. ) tan pronto como sea posible después de que se haya descubierto la infracción.
Australia
Las empresas en Australia están sujetas al plan de violaciones de datos notificables. Organizaciones y agencias tener “30 días para evaluar si es probable que una violación de datos resulte en un daño grave”. En el caso de una violación de datos grave,la organización afectada debe informarlo al Comisionado de Información de Australiay alertar a las personas afectadas por correo electrónico, llamada telefónica o mensaje de texto.
