Las agencias de seguridad cibernética del gobierno de EE. UU. y Australia advierten que las vulnerabilidades de seguridad comunes y fácilmente explotables en sitios web y aplicaciones web pueden ser objeto de abuso para llevar a cabo filtraciones de datos a gran escala.
En un aviso conjunto publicado el jueves, la agencia de seguridad cibernética de EE. UU. CISA, la Agencia de Seguridad Nacional y el Centro de Seguridad Cibernética de Australia dijeron que las vulnerabilidades, conocidas como referencias de objetos directos inseguros (IDOR), permiten a los piratas informáticos acceder o modificar datos confidenciales en los servidores de una organización. debido a la falta de controles de seguridad adecuados.
Una vulnerabilidad de IDOR es como tener una llave para su buzón, pero esa llave también le permite desbloquear todos los demás buzones de su calle. Los IDOR pueden ser particularmente problemáticos porque, como una fila de buzones de correo, un malhechor puede explotarlos secuencialmente uno tras otro y acceder a datos a los que no debería estar autorizado.
Debido a que estas vulnerabilidades a menudo se pueden explotar mediante la enumeración, se puede abusar de los IDOR «a escala» utilizando herramientas automatizadas, advierte el aviso.
“Si bien ha habido informes previos de código abierto sobre vulnerabilidades de referencia de objeto directo inseguro (IDOR) en aplicaciones web, CISA y nuestros socios en el Centro de Seguridad Cibernética de Australia y la Agencia de Seguridad Nacional se dieron cuenta de que esta es una falla importante con muy poco reconocimiento o comprensión dentro de la comunidad cibernética. El aviso conjunto de hoy es el primer aviso importante sobre este tema para ayudar a las organizaciones a proteger los datos confidenciales en sus sistemas y empujar a los proveedores a reducir la prevalencia de las vulnerabilidades y fallas de IDOR”, dijo a TechCrunch James Stanley, jefe de la sección de desarrollo de productos de CISA.
El aviso conjunto señala que los IDOR han resultado en importantes violaciones de datos en los Estados Unidos y en el extranjero.
En los últimos años, los IDOR han resultado en la exposición de miles de documentos médicos por parte de un laboratorio gigante de EE. UU., un sitio web del gobierno estatal que derramó información personal de miles de contribuyentes, una aplicación de rastreo de contactos universitarios que filtró el estado de vacunación contra COVID-19 y un estado -Aplicación de salud respaldada que permitió el acceso a los datos de vacunación de otras personas. Los IDOR también resultaron en el derrame masivo de datos de cientos de millones de documentos hipotecarios de EE. UU., la exposición de los datos de ubicación en tiempo real de más de un millón de vehículos de un rastreador GPS defectuoso y la filtración de cientos de miles de datos de teléfonos privados de personas robadas. por una red global de stalkerware.
El aviso conjunto dice que los desarrolladores deben asegurarse de que sus aplicaciones web realicen verificaciones de autenticación y autorización para reducir los IDOR, y que el software sea seguro por diseño, un principio promovido por CISA que insta a los fabricantes de software a incorporar seguridad desde el principio y en todo el software. proceso de desarrollo.
“Secure-by-design es un tema fundamental en este aviso. Se alienta a los proveedores y desarrolladores a tomar las medidas adecuadas para proporcionar productos que protejan los datos confidenciales de sus clientes por diseño y por defecto”, dijo Stanley de CISA.
La agencia cibernética de Australia dijo que continúa observando a actores maliciosos que explotan redes mal configuradas.
“Incluso una sola infracción que utilice las vulnerabilidades de IDOR puede tener un impacto nacional. Un actor malicioso que pueda filtrar datos podría afectar la infraestructura crítica, las empresas, el gobierno y las personas”, dijo Patrick Holmes, del Centro de Seguridad Cibernética de Australia.