Digest de Seguridad de Base de Datos – Septiembre 2018
Por favor revisa los incidentes de seguridad de base de datos más importantes ocurridos en septiembre de 2018.
Hackeo a British Airways
Durante más de dos semanas, presumiblemente desde el 21 de agosto al 5 de septiembre, los hackers tuvieron acceso a detalles de más de 380,000 transacciones de clientes que realizaron o cambiaron reservas en el sitio web oficial de la aerolínea y en la aplicación. Los hackers obtuvieron la siguiente información financiera: nombres, direcciones de correo electrónico e información de tarjetas de crédito (números de tarjeta de crédito, fechas de expiración y códigos CVC que se utilizan para aprobar pagos). La Oficina del Comisionado de Información está llevando a cabo una investigación sobre las raíces de este exitoso ataque de piratería. Es muy probable que British Airways tenga que pagar una multa por no haber mantenido segura la información sensible de los clientes.
Los representantes de la aerolínea dicen que el ataque fue llevado a cabo por un grupo de ciberdelincuentes muy “sofisticado”. Ahora la aerolínea recomienda a los clientes afectados ponerse en contacto con sus bancos para tomar todas las medidas necesarias para prevenir el robo de dinero e identidad.
Los expertos dicen que los datos robados podrían valer más de 20 millones de libras en el lado oscuro de internet, según el precio promedio de dicha información.
Más de 6 millones de clientes afectados en una violación de datos de un minorista estadounidense
SHEIN es una empresa multinacional que vende ropa. Comenzó en North Brunswick, Nueva Jersey, en 2008. Sin embargo, a los ciberdelincuentes realmente no les importa qué empresa hackean, solo están interesados en obtener bases de datos de empresas y venderlas.
La empresa admitió haber sido hackeada y haber filtrado datos personales de más de seis millones de clientes. Además, informó que había sido objetivo de un “ataque cibernético criminal concertado” y tuvo que recurrir a una firma de ciberseguridad forense y una compañía legal para llevar a cabo una investigación. La empresa no dio muchos detalles, pero parece que sus servidores tenían algún malware descargado. En el comunicado de prensa de la empresa se declaró que los datos personales adquiridos ilegalmente por los hackers incluían direcciones de correo electrónico y contraseñas encriptadas de los clientes que visitaron el sitio web de la empresa.
14 Millones de registros expuestos por el Servicio de Pago del Gobierno
Una plataforma popular utilizada por muchos estadounidenses para pagar facturas, multas, tarifas de licencias y más a más de 2000 organismos y agencias gubernamentales en 35 estados estaba filtrando datos personales de manera no intencional a través de un error en el sitio web. Los recibos en línea emitidos después de un pago se numeraban secuencialmente. Al simplemente escribir nuevos números en la barra de direcciones, cualquiera podía revisar los registros de otras personas. De esta manera, se tuvo acceso fácil a más de 14 millones de registros desde el año 2012. La información expuesta incluía nombres, direcciones, números de teléfono y los últimos cuatro dígitos de las tarjetas bancarias. Esta información es teóricamente suficiente para un ataque de phishing de apariencia muy realista. El Servicio de Pago del Gobierno administrado por GovPayNet fue muy rápido en eliminar este error.
Actualizaciones de seguridad para bases de datos
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-16959https://nvd.nist.gov/vuln/detail/CVE-2018-16958
https://nvd.nist.gov/vuln/detail/CVE-2018-16957
https://nvd.nist.gov/vuln/detail/CVE-2018-16956
https://nvd.nist.gov/vuln/detail/CVE-2018-16955
https://nvd.nist.gov/vuln/detail/CVE-2018-16954
https://nvd.nist.gov/vuln/detail/CVE-2018-16953
https://nvd.nist.gov/vuln/detail/CVE-2018-16952
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-16659PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2016-7070MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-17034https://nvd.nist.gov/vuln/detail/CVE-2018-17035
IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1711https://nvd.nist.gov/vuln/detail/CVE-2018-1710
https://nvd.nist.gov/vuln/detail/CVE-2018-1685