Otro día, otra base de datos mal configurada filtró datos confidenciales de clientes a Internet en general.
Esta vez, el perpetrador no es otro que Amazon, ya que según TechCrunch (se abre en una pestaña nueva)el investigador de ciberseguridad Anurag Sen descubrió recientemente una importante base de datos de Amazon, sin protección de contraseña alguna, disponible para cualquiera que supiera dónde buscar.
Con la ayuda de Shodan, un motor de búsqueda de cosas conectadas a Internet, Sen descubrió la base de datos, llamada Sauron, y la encontró llena de hábitos de visualización de Amazon Prime.
Error de implementación
En total, la base de datos contenía unas 215 millones de entradas de datos de visualización seudonimizados, lo que significa que, si bien hay muchos datos sobre clientes específicos para conocer sus hábitos de visualización, es prácticamente imposible conectar esas cuentas con identidades reales. Sauron contiene cosas como el nombre de la película/serie, el dispositivo utilizado para transmitir el contenido, la calidad de la red, el plan de suscripción del cliente, etc.
Según los informes, se detectó por primera vez que la base de datos estaba expuesta a fines de septiembre de 2022, después de lo cual Amazon recibió un aviso y eliminó el sistema de la web en general.
“Hubo un error de implementación con un servidor de análisis de Prime Video. Este problema se resolvió y no se expuso la información de la cuenta (incluidos los detalles de inicio de sesión o de pago). Esto no fue un problema de AWS; AWS es seguro de forma predeterminada y funciona según lo diseñado”, TechCrunch citó al portavoz de Amazon, Adam Montgomery.
Las configuraciones incorrectas de la nube no son nada nuevo, y los investigadores han estado advirtiendo durante años que este error provocado por el hombre es una de las principales causas de las filtraciones de datos. De hecho, un informe de IBM de 2021 afirmó que el 19 % de las violaciones de datos ocurren porque los equipos de TI no protegen adecuadamente los activos que se encuentran dentro de su infraestructura en la nube. La empresa encuestó a más de 500 organizaciones que sufrieron una violación de datos para el informe y descubrió que para la mitad (52 %), proteger los datos almacenados en la nube pública seguía siendo un desafío.
Además, un informe de Accurics de 2020 afirmó que «casi todo» el almacenamiento en la nube (se abre en una pestaña nueva) las implementaciones estaban mal configuradas.