Muchas de las principales tiendas en línea están exponiendo datos privados de los clientes, lo que pone tanto a la empresa como a sus usuarios en riesgo de robo de identidad. (se abre en una pestaña nueva)ataques de extorsión y otros incidentes de ciberseguridad, afirma una nueva investigación.
Al analizar más de 2000 tiendas en línea, Sansec descubrió que 250, o aproximadamente el 12 %, guardaban sus copias de seguridad en carpetas públicas a las que cualquiera que sepa dónde buscar puede acceder fácilmente.
Las copias de seguridad, en su mayoría archivos .ZIP, .SQL y .TAR, contenían información confidencial, como contraseñas de bases de datos, URL de administradores secretos, claves de API internas e información de identificación personal del cliente.
Errores costosos
Sansec dice que las empresas mantuvieron estas copias de seguridad públicas por negligencia o por error.
Al mismo tiempo, los ciberdelincuentes son muy conscientes de que las empresas a veces cometen estos errores y siempre están al acecho de nuevas víctimas.
“Los delincuentes en línea están buscando activamente estas copias de seguridad, ya que contienen contraseñas y otra información confidencial”, dijo Sansec en su informe. «Los secretos expuestos se han utilizado para obtener el control de las tiendas, extorsionar a los comerciantes e interceptar los pagos de los clientes».
La búsqueda de copias de seguridad expuestas es una práctica automatizada, dijo BleepingComputer en su informe. Los atacantes buscan diferentes combinaciones de nombres posibles, utilizando el nombre del sitio y los datos de DNS públicos, por ejemplo, “/db/staging-SITENAME.zip”. Estos escaneos son económicos y no dañan el rendimiento del sitio, por lo que los piratas informáticos pueden realizar tantos como puedan.
Para hacer frente a la amenaza, dice Sansec, los propietarios de sitios web y los equipos de TI deben analizar periódicamente sus sitios en busca de bases de datos expuestas por error y por negligencia. En caso de que encuentren dicha base de datos, se recomienda restablecer las cuentas de administrador y las contraseñas de la base de datos, y habilitar MFA en todas las cuentas de los empleados de inmediato.
Además, los equipos de TI pueden verificar los registros del servidor web para ver si alguien descargó la copia de seguridad. También pueden verificar los registros de la cuenta de administrador para ver si algún tercero accedió a ellos.
Vía: BleepingComputer (se abre en una pestaña nueva)