FreshBooks, una startup unicornio canadiense que crea software de contabilidad en la nube, mantuvo un cubo de almacenamiento de Amazon Web Services (AWS) que contenía información confidencial de los empleados sin protección en Internet, disponible para cualquier persona que supiera dónde buscar, afirman los expertos.
Como resultado, más de 30 millones de sus usuarios, en más de 160 países de todo el mundo, estuvieron en riesgo de robo de identidad y otros delitos cibernéticos.
La alerta fue emitida por el Cybernoticias (se abre en una pestaña nueva) equipo de investigación, que descubrió por primera vez la base de datos a fines de enero de 2023.
Contraseñas fáciles de descifrar
A primera vista, contenía imágenes de almacenamiento y metadatos de su blog, pero un análisis más profundo descubrió copias de seguridad del código fuente del sitio web, así como información del sitio, configuraciones y datos de inicio de sesión para 121 WordPress. (se abre en una pestaña nueva) usuarios Los datos de inicio de sesión (nombres de usuario, direcciones de correo electrónico y contraseñas hash) pertenecían a los administradores del sitio. Se codificaron utilizando el marco de hash MD5/phpass «fácilmente descifrable», dijeron los investigadores, lo que sugiere que obtener la información en texto sin formato fue relativamente fácil.
Con esta información, dice el equipo de Cybernews, los actores de amenazas podrían haber accedido al backend del sitio web y realizado cambios no autorizados en su contenido. Podrían haber analizado el código fuente, entendido cómo funcionaba el sitio web y encontrado otras vulnerabilidades para vender o explotar. De hecho, una copia de seguridad del servidor de 2019 contenía «al menos cinco» complementos vulnerables que estaban instalados en el sitio web en ese momento, encontraron los investigadores.
En un escenario aún más peligroso, podrían haber instalado software malicioso, moverse lateralmente por la red y robar datos confidenciales.
Sin embargo, hay una advertencia para explotar la vulnerabilidad: «La página de inicio de sesión del sitio web en el panel de administración estaba protegida y no era de acceso público», explican los investigadores. “Sin embargo, los atacantes aún podrían eludir esta medida de seguridad conectándose a la misma red que el sitio web o encontrando y explotando un complemento vulnerable de WordPress”.
Vía: Cybernoticias (se abre en una pestaña nueva)