Digest de Seguridad de Bases de Datos – Junio 2018
Por favor, echa un vistazo a los mayores incidentes de seguridad de bases de datos en junio de 2018.
Exactis
Exactis es una firma de marketing y agregación de datos de la que probablemente nunca hayas oído hablar. Pero ten por seguro que esta empresa sabe mucho sobre ti. Un investigador de seguridad ha descubierto que la base de datos de esta empresa ha quedado sin protección en un servidor públicamente accesible. Esta base de datos tiene aproximadamente 340 millones de registros. La mayoría de ellos son registros de consumidores.
Afortunadamente, los datos en la base de datos de Exactis no contenían SSN ni información de tarjetas bancarias. Pero contenía otros tipos de Información Personalmente Identificable como teléfonos, direcciones de hogar y correos electrónicos. Esta información puede ser fácilmente utilizada para el robo de identidad.
Te sorprenderá cuánto sabe Exactis sobre ti. Cada registro de consumidor fue descrito usando más de 400 variables. Así que la empresa sabe qué pasatiempos tiene la gente, sus creencias religiosas y políticas, estado civil, mascotas (si las hay), hábitos de compra, etc.
¡Lo realmente sorprendente es que esta información personal estaba ahí fácilmente hackeable!
Ticketfly
Ticketfly es una empresa que nos vende entradas para diferentes eventos. A principios de junio se supo que un hacker tomó control del sitio web de la empresa pidiendo un pago en bitcoin para liberarlo y compartir detalles sobre la vulnerabilidad del sitio web. Sin embargo, la administración de la empresa se negó a hacer ese tipo de trato y el hacker desconocido publicó datos de usuarios en internet. Después de eso, Ticketfly puso su sitio web fuera de línea como medida de seguridad.
Se ha informado que esta brecha de datos podría haber expuesto fácilmente datos de 26 millones de clientes de Ticketfly. Los datos incluyen correos electrónicos, direcciones de hogar y de facturación, números de teléfono, etc. Se cree que la información de las tarjetas bancarias y las contraseñas de los clientes de Ticketfly no han sido comprometidas, pero nunca se puede estar seguro.
Esta brecha de datos de Ticketfly y la posterior caída del sitio web dejaron a los promotores de eventos, clubes de música y comedia sin una imagen clara de cuántas entradas se han vendido y, obviamente, obstaculizó su negocio.
Dixons Carphone
Dixons Carphone es un minorista multinacional de productos eléctricos y servicios de telecomunicaciones con sede en Londres. A principios de este mes se supo que la empresa fue hackeada. Se filtró información de casi 6 millones de tarjetas bancarias. El(los) hacker(s) también se apoderaron de nombres, correos electrónicos y datos de inicio de sesión.
Este incidente sigue a la brecha de 2015 por la cual la empresa fue multada con £400,000 y ahora las autoridades están examinando muy de cerca por qué esto está sucediendo de nuevo y por qué no se han tomado medidas preventivas contra las filtraciones de datos. Dixons Carphone tuvo suerte de que este incidente ocurriera antes de la introducción del GDPR, que promete multas mucho mayores por accidentes de pérdida de datos como este.
Actualizaciones de seguridad de las bases de datos
SAP HANA
https://nvd.nist.gov/vuln/detail/CVE-2018-2424https://nvd.nist.gov/vuln/detail/CVE-2018-2425