- By Enrique Relucio
- 24/01/2024
- No hay comentarios
Al comenzar el nuevo año, una vez más, hacemos resumen de las brechas de seguridad que han expuesto mayor número de datos personales.
El año 2023 presenció un total de 2.800 incidentes y se comprometieron más de 8 mil millones de registros según los ataques reportados. Una cifra muy superior a la del año pasado con poco más de 1.000 incidentes y 480 millones de datos comprometidos.
Estos números ponen de manifiesto que una buena gobernanza de los datos es cada vez más necesaria dentro de las organizaciones y, en última instancia, la importancia de cifrar los datos de carácter personal.
La compra-venta de datos personales en foros de la “dark-web” no es algo nuevo, pero si se está convirtiendo en un negocio muy lucrativo, con una cifra de negocio que llegó a los 3.000 millones de dólares en 2021.
Principales brechas del 2023
DarkBeam (Reino Unido)
Sector: Ciberseguridad
Registros comprometidos: 3.800 millones
DarkBeam, una empresa de gestión de riesgos en ciberseguridad, dejó desprotegida una interfaz de Elasticsearch y Kibana, exponiendo 3.800 millones de registros con correos electrónicos y contraseñas. La filtración fue descubierta el 18 de septiembre por el director ejecutivo del sitio de noticias sobre seguridad cibernética SecurityDiscovery.
Real Estate Wealth Network (EE. UU.)
Sector: Construcción/Bienes Raíces
Registros comprometidos: 1.500 millones
El investigador de ciberseguridad, Jeremiah Fowler, descubrió una base de datos sin contraseña con 1.500 millones de registros que contenían datos de propiedad inmobiliaria de millones de personas, entre otros nombre, domicilio y número de teléfono.
Indian Council of Medical Research (ICMR)
Sector: Atención médica
Registros comprometidos: 815 millones
Los datos personales de más de 815 millones de indios fueron comprometidos y se encontraron a la venta en la “dark web”. La violación se debe a una vulnerabilidad de la base de datos que guardaba registros de test del COVID-19. Se descubrió debido a un anuncio en la “dark web” de un usuario llamado ‘pwn0001’ que ofrecía una base de datos con números de Aadhaar, detalles de pasaporte, nombres e información de contacto.
Kid Security (Kazajistán)
Sector: Servicios/Software de TI
Registros comprometidos: 300 millones
KidSecurity es una aplicación de control parental que se utiliza para rastrear a los niños, cuenta con más de un millón de descargas en Google Play. Unas instancias de Elasticsearch y Logstash con más de 300 millones de registros con datos privados de usuarios permanecieron públicas durante más de un mes. Los datos incluían 21.000 números de teléfono y 31.000 direcciones de correo electrónico, así como la información de pago de los usuarios, exponiendo los primeros seis y últimos cuatro dígitos de las tarjetas de crédito, el mes y año de vencimiento y el banco emisor.
Twitter (X) (EE. UU.)
Sector: Servicios/Software de TI
Registros comprometidos: 220 millones
En diciembre de 2023 se pusieron a la venta datos privados de 200 millones de usuarios de Twitter, incluidas sus direcciones de correo electrónico. Se cree que estos datos vienen de un error en la API de Twitter entre junio de 2021 y enero de 2022, que permitía a los atacantes enviar información de contacto como direcciones de correo electrónico y recibir a cambio la cuenta de Twitter asociada.
TuneFab (Hong Kong)
Sector: Servicios/Software de TI
Registros comprometidos: 150 millones
Esta herramienta para descargar música de Spotify y otros servicios, sufrió una filtración de más de 150 millones de registros con direcciones IP, área de usuario, ID de usuario, correos electrónicos e información del dispositivo debido a una mala configuración de una base de datos MongoDB.
SAP SE Bulgaria (Bulgaria)
Sector: Servicios/Software de TI
Registros comprometidos: 95 millones
Investigadores de Aqua Nautilus han descubierto Kubernetes Secrets -objetos que contienen pequeñas cantidades de datos sensibles, como contraseñas, tokens o claves- relacionados con cientos de organizaciones expuestas a Internet en repositorios públicos de GitHub.
Entre ellos estaba SAP SE Bulgaria, se descubrieron credenciales que proporcionaban acceso a 95 millones de artefactos, que sirven para implementar manifiestos, así como permisos de descarga .
Luxottica Group (Italia)
Sector: Manufactura
Registros comprometidos: 74 millones
El pasado año Luxottica, una compañía que produce monturas de gafas, comunicó que un colaborador de la empresa sufrió una violación de datos en 2021 que expuso la información personal de 70 millones de clientes después de que en mayo de 2023 se publicara una base de datos de forma gratuita en foros de piratería. Los datos contienen más de 74 millones de direcciones de correo electrónico, también tienen nombres, domicilios, números de teléfono y fechas de nacimiento.
Conclusiones
Las bases de datos con información personal expuestas por malas configuraciones o vulnerabilidades desconocidas son un grave problema de seguridad. Incluso si no se almacena nada más que la cuenta de correo, esta información es útil para hacer más grandes los ataques de Phishing y, por simple probabilidad, tener mayor éxito.
La finalidad de esta entrada es concienciar sobre el avance de las brechas de datos personales y la importancia de tomar medidas de seguridad como el cifrado de estos datos críticos.
Créditos: Imagen de Kerfin7 en Freepik