Global Preloader
Noticia Internacional
(11/Aug/2017) Empresas publicaron accidentalmente datos sensibles en línea

Empresas publicaron accidentalmente datos sensibles en línea

Un proveedor de servicios de detección de malware y una firma de seguridad de primera categoría han sido acusados de filtrar terabytes de datos confidenciales de varias compañías de Fortune 1000, incluyendo credenciales de clientes, registros financieros, inteligencia de red y otros datos confidenciales.

Sin embargo, en respuesta a las acusaciones, la firma de seguridad confirmó que no están sacando archivos confidenciales de sus clientes; en su lugar, corresponde a las empresas, que accidentalmente (pero explícitamente) comparten sus datos confidenciales para aprovechar un servicio antimalware opcional basado en la nube.

El miércoles la empresa de seguridad DirectDefense publicó una entrada en un blog, alegando que encontraron una falla importante con la solución de equipo fina de detección y respuesta (EDR) ofrecida por la compañía estadounidense Carbon Black, alegando que la compañía filtraba cientos de miles de archivos confidenciales de sus clientes.

Carbon Black es una compañía líder en amenazas y respuesta a incidentes que ofrece productos de seguridad a casi treinta de las 100 compañías públicas y privadas más grandes de los Estados Unidos, incluyendo a los líderes de Silicon Valley de búsquedas en Internet, medios sociales, gobierno y finanzas.

DirectDefense afirma que hay fuga de datos por parte de Carbon Black

Según DirectDefense, CB Response de la compañía es responsable de la fuga de una gran cantidad de datos de sus clientes, desde las claves de la nube y las llaves de la tienda de aplicaciones hasta las credenciales y otros secretos comerciales delicados, debido a su dependencia de servicios de escáneres múltiples de terceros.

Carbon Black se especializa en soluciones antivirus y de detección y respuesta de terminales (EDR) de próxima generación, en una plataforma distribuida por la nube que detiene el malware y otros ataques cibernéticos.

El producto funciona identificando archivos "buenos" y "malos" y luego creando su lista blanca para evitar que sus clientes ejecuten archivos dañinos en sus sistemas. Por lo tanto, la herramienta evalúa continuamente un grupo enorme y en constante expansión de archivos de una posible infección.

DirectDefence alega que cada vez que la herramienta encuentra un nuevo archivo en el equipo de sus clientes que nunca ha visto antes, primero carga el archivo a los servidores de Carbon Black, y luego la empresa envía una copia de ese archivo al servicio multiescáner de VirusTotal (propiedad de Google) que contiene docenas de motores antivirus para comprobar si el archivo es bueno o malo.

Jim Broome, presidente de DirectDefense, indica que cualquier persona que esté dispuesta a pagar tendría acceso al multiescáner y eventualmente acceso a los archivos enviados a su base de datos.

Broome dice que descubrió este problema a mediados de 2016 cuando su compañía estaba trabajando en una posible violación en la computadora de su cliente.

Mientras utilizaba el multiescáner de VirusTotal basado en la nube para buscar un posible malware que sospechaba había infectado a su cliente, su personal encontró un lote de aplicaciones internas pertenecientes a un "proveedor de equipos de telecomunicaciones muy grande".

Después de excavar más profundamente, el equipo descubrió que los archivos fueron cargados por Carbon Black, el cual fue identificado por su clave única de API (32d05c66). Una vez que el equipo tenía esa clave primaria, fue capaz de localizar "cientos de miles de archivos que comprenden Terabytes de datos".

DirectDefense encontró datos confidenciales filtrados de las principales empresas

Broome dice que identificó tres compañías a las que pertenecían los archivos que su equipo descargó, aunque no reveló los nombres de las compañías afectadas.

He aquí alguna información que DirectDefense reveló acerca de las tres compañías afectadas:

Gran empresa de streaming media. La primera empresa era una gran empresa de streaming media, y los archivos asociados a esta empresa contenían, entre otros archivos sensibles:

  • Credenciales de la Administración de Identidades y Access (IAM) de Amazon Web Services (AWS)
  • Credenciales de Administrador
  • Llaves de Google Play
  • ID de Apple Store

Empresa de Medios Sociales. La segunda compañía era una compañía de medios sociales, y los archivos asociados con esta firma incluyeron:

  • Llaves de Azure y AWS codificadas en hardware
  • Otra información de propiedad interna, como nombres de usuario y contraseñas

Empresa de Servicios Financieros. La tercera empresa es un proveedor de servicios financieros, para lo que los investigadores descubrieron:

  • Las claves AWS compartidas que daban acceso a los datos financieros del cliente
  • Secretos comerciales que incluían modelos financieros y posiblemente datos directos de los consumidores

Carbon Black explica el origen de la fuga de datos

En respuesta a las alegaciones de DirectDefence, el cofundador y CTO de Carbon Black Michael Viscuso, publicó una entrada en el blog de hoy explicando que su herramienta de respuesta CB no carga todos los archivos automáticamente a VirusTotal; en su lugar, la función se deshabilita de forma predeterminada, dejando a los usuarios la opción de utilizar su servicio multiescánner.

Esto significa, en primer lugar, que las empresas de primera categoría están filtrando accidentalmente (pero explícitamente) sus archivos confidenciales en la base de datos de VirusTotal.

Broome también sospecha que este problema no es exclusivo de Carbon Black, otros proveedores de EDR también pueden estar filtrando los datos de sus clientes de la misma manera.