Digest de Seguridad de Bases de Datos – Diciembre 2018
Quora
Quora se ha convertido en la última gran empresa tecnológica en sufrir una importante violación de datos. Este mes se ha conocido que la información de aproximadamente 100 millones de usuarios podría haber sido comprometida.
El sitio web Quora es un lugar extremadamente popular para obtener respuestas a tus preguntas. Pero, lamentablemente, una tercera parte malintencionada encontró su camino no autorizado a este sitio web. Quora está llevando a cabo una investigación forense sobre la causa exacta de este accidente.
La información potencialmente filtrada puede incluir información de cuenta como nombres, correos electrónicos y contraseñas encriptadas, así como datos de redes sociales como Facebook y Twitter. Además, los hackers también han obtenido acceso a la actividad de los usuarios: preguntas formuladas, respuestas dadas, comentarios, mensajes directos, votos positivos y negativos.
Los usuarios afectados han sido notificados y desconectados. La empresa cree haber identificado la causa raíz de este accidente y tomado medidas para solucionar el problema, aunque la investigación aún está en curso y Quora planea realizar mejoras en la seguridad informática.
120 Millones de Brasileños Expuestos
120 millones de brasileños han visto su información personal identificable expuesta en internet. Esto ocurrió debido a otra mala configuración de TI.
Este accidente se relaciona con el Cadastro de Pessoas Físicas (CPFs). Esta es la agencia que emite identificaciones especiales a todos los ciudadanos y residentes que pagan impuestos. Más de la mitad de la población del país más grande de América del Sur se ha visto afectada por este accidente.
Investigadores de seguridad en TI encontraron la base de datos con esta información expuesta en un servidor web Apache en marzo, después de una simple búsqueda en internet.
Después de algunas investigaciones, se descubrió que alguien había renombrado el archivo ‘index.html’ a ‘index.html_bkp,’ revelando el contenido del directorio. Cualquiera que conociera el nombre del archivo y navegara a él tendría acceso ilimitado a todas las carpetas y archivos dentro.
La agencia ha infringido las reglas básicas de seguridad en TI: no debería haber renombrado el archivo principal index.html o debería haber prohibido el acceso mediante la configuración de .htaccess.
Los investigadores esperan que esta base de datos se ponga pronto a la venta en la Dark Web. Se recomienda encarecidamente que el gobierno brasileño lleve a cabo una investigación exhaustiva sobre este accidente.
Boomoji
Una aplicación china popular, Boomoji, que tiene unos 5.3 millones de usuarios en todo el mundo permite a los usuarios de iOS y Android crear avatares en 3D.
Sin embargo, los datos personales de toda su base de datos fueron filtrados después de que Boomoji dejara 2 bases de datos ElasticSearch sin protección y sin contraseña.
La compañía distribuyó sus servidores, uno que servía a usuarios internacionales fue configurado en USA, y el otro, que servía a usuarios chinos, se basó en Hong Kong debido a las leyes de seguridad de datos de China. Estas 2 bases de datos contenían los nombres de usuario, género, país, tipo de teléfono, ID único de Boomoji, escuelas de usuarios. Además, las bases de datos contenían la geolocalización de aproximadamente 400 mil usuarios y las entradas de la libreta de contactos de cada usuario que permitió a la app acceder a sus contactos.
Como algunos usuarios permitieron el acceso a su libreta de contactos, el número total de personas potencialmente afectadas puede llegar a los 125 millones. Estas personas pueden ni siquiera saber que esta aplicación existe y aún así tener su información personal expuesta. Y todo eso debido a bases de datos vulnerables.
Los hackers están desarrollando sus herramientas para hackeo y encontrando vulnerabilidades todos los días. Por eso es tan importante mantener toda la información por la que eres responsable bajo tu total control. Y, por supuesto, simplemente dejar tus bases de datos a cargo en algún lugar desatendido es totalmente inapropiado.
Actualizaciones de seguridad para bases de datos
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-16868https://nvd.nist.gov/vuln/detail/CVE-2018-16869
https://nvd.nist.gov/vuln/detail/CVE-2018-19439
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-17957https://nvd.nist.gov/vuln/detail/CVE-2018-19439
https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-14704
https://nvd.nist.gov/vuln/detail/CVE-2018-14703
https://nvd.nist.gov/vuln/detail/CVE-2018-14700
https://nvd.nist.gov/vuln/detail/CVE-2018-14696
https://nvd.nist.gov/vuln/detail/CVE-2018-14695
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-2497https://nvd.nist.gov/vuln/detail/CVE-2018-2502
MS SQL Azure
https://nvd.nist.gov/vuln/detail/CVE-2018-8652IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1977MongoDB
https://nvd.nist.gov/vuln/detail/CVE-2018-1784Elasticsearch
https://nvd.nist.gov/vuln/detail/CVE-2018-17247https://nvd.nist.gov/vuln/detail/CVE-2018-17244