Se ha identificado una vulnerabilidad de VPN como la clave detrás de un ataque de ransomware contra el Colegio de Abogados de Singapur.
El ataque ocurrió el 27 de enero de 2021 y puso en peligro los datos personales de más de 16 000 miembros, utilizando un error en el servicio VPN para obtener credenciales de acceso si no se reparaba.
La investigación llevada a cabo por la Comisión de Protección de Datos Personales (PDPC) de Singapur también encontró a la Sociedad culpable de usar una contraseña fácil de adivinar y de no realizar las revisiones periódicas de seguridad exigidas por la ley. La organización tiene ahora 60 días para finalizar una auditoría interna y corregir cualquier brecha de seguridad.
Incumplimiento de las obligaciones de protección de datos
A pesar de que se filtró la información personal de muchos miembros, incluidos los nombres completos, las direcciones residenciales y la fecha de nacimiento, el comisionado adjunto de PDPC, Zee Kin Yeong, concluyó que: «No hubo evidencia de exfiltración o uso indebido de los datos personales de los miembros y el (Law Society ) tomó medidas correctivas inmediatas en respuesta al incidente», Channel News Asia (se abre en una pestaña nueva) informado.
De hecho, el software antivirus de la empresa detectó el ataque el mismo día. Rápidamente eliminó la cuenta del actor de amenazas utilizada para inyectar el malware, mientras restauraba los servidores en copias de seguridad de datos anteriores.
Como reveló el proveedor de VPN Fortinet, los desarrolladores informaron a sus clientes sobre la vulnerabilidad de la VPN el 24 de mayo de 2019. Sin embargo, no había actualizaciones disponibles para corregir el error antes de que ocurriera el incidente.
Por esta razón, el Sr. Yeong absolvió al Colegio de Abogados de cualquier responsabilidad al respecto.
Sin embargo, los problemas para las organizaciones que representan a todos los abogados de Singapur no terminaron ahí.
El PDPC encontró, de hecho, que la Sociedad incumplió la Sección 24 de la Ley de Protección de Datos Personales del país por no cumplir con algunas de sus obligaciones de protección de datos.
Específicamente, fue culpable de usar una contraseña débil, «Welcome2020lawsoc», para la cuenta pirateada. Peor aún, esto estuvo en uso durante más de 90 días cuando la ley requería que se cambiara cada tres meses como requisito mínimo. La Law Society también fue declarada culpable de no llevar a cabo una revisión de seguridad en los tres años anteriores al ataque.
A pesar de la gravedad de las fallas de seguridad, estas no estaban directamente relacionadas con el ataque de ransomware. La Law Society ahora está finalizando una auditoría interna para fortalecer su postura de seguridad.
«En los últimos dos años desde el incidente, ya hemos tomado una serie de medidas proactivas para mejorar nuestra infraestructura de ciberseguridad», dijo la Sociedad en un comunicado oficial.
«Estos incluyen la implementación de la autenticación de múltiples factores para todos los accesos a VPN y el fortalecimiento de nuestro equipo de TI interno para tratar los asuntos de ciberseguridad».