\n<\/p>\n
Las agencias de seguridad cibern\u00e9tica del gobierno de EE. UU. y Australia advierten que las vulnerabilidades de seguridad comunes y f\u00e1cilmente explotables en sitios web y aplicaciones web pueden ser objeto de abuso para llevar a cabo filtraciones de datos a gran escala.<\/p>\n
En un aviso conjunto publicado el jueves, la agencia de seguridad cibern\u00e9tica de EE. UU. CISA, la Agencia de Seguridad Nacional y el Centro de Seguridad Cibern\u00e9tica de Australia dijeron que las vulnerabilidades, conocidas como referencias de objetos directos inseguros (IDOR), permiten a los piratas inform\u00e1ticos acceder o modificar datos confidenciales en los servidores de una organizaci\u00f3n. debido a la falta de controles de seguridad adecuados.<\/p>\n
Una vulnerabilidad de IDOR es como tener una llave para su buz\u00f3n, pero esa llave tambi\u00e9n le permite desbloquear todos los dem\u00e1s buzones de su calle. Los IDOR pueden ser particularmente problem\u00e1ticos porque, como una fila de buzones de correo, un malhechor puede explotarlos secuencialmente uno tras otro y acceder a datos a los que no deber\u00eda estar autorizado.<\/p>\n
Debido a que estas vulnerabilidades a menudo se pueden explotar mediante la enumeraci\u00f3n, se puede abusar de los IDOR \u00aba escala\u00bb utilizando herramientas automatizadas, advierte el aviso.<\/p>\n
\u201cSi bien ha habido informes previos de c\u00f3digo abierto sobre vulnerabilidades de referencia de objeto directo inseguro (IDOR) en aplicaciones web, CISA y nuestros socios en el Centro de Seguridad Cibern\u00e9tica de Australia y la Agencia de Seguridad Nacional se dieron cuenta de que esta es una falla importante con muy poco reconocimiento o comprensi\u00f3n dentro de la comunidad cibern\u00e9tica. El aviso conjunto de hoy es el primer aviso importante sobre este tema para ayudar a las organizaciones a proteger los datos confidenciales en sus sistemas y empujar a los proveedores a reducir la prevalencia de las vulnerabilidades y fallas de IDOR\u201d, dijo a TechCrunch James Stanley, jefe de la secci\u00f3n de desarrollo de productos de CISA.<\/p>\n
El aviso conjunto se\u00f1ala que los IDOR han resultado en importantes violaciones de datos en los Estados Unidos y en el extranjero.<\/p>\n
En los \u00faltimos a\u00f1os, los IDOR han resultado en la exposici\u00f3n de miles de documentos m\u00e9dicos por parte de un laboratorio gigante de EE. UU., un sitio web del gobierno estatal que derram\u00f3 informaci\u00f3n personal de miles de contribuyentes, una aplicaci\u00f3n de rastreo de contactos universitarios que filtr\u00f3 el estado de vacunaci\u00f3n contra COVID-19 y un estado -Aplicaci\u00f3n de salud respaldada que permiti\u00f3 el acceso a los datos de vacunaci\u00f3n de otras personas. Los IDOR tambi\u00e9n resultaron en el derrame masivo de datos de cientos de millones de documentos hipotecarios de EE. UU., la exposici\u00f3n de los datos de ubicaci\u00f3n en tiempo real de m\u00e1s de un mill\u00f3n de veh\u00edculos de un rastreador GPS defectuoso y la filtraci\u00f3n de cientos de miles de datos de tel\u00e9fonos privados de personas robadas. por una red global de stalkerware.<\/p>\n
El aviso conjunto dice que los desarrolladores deben asegurarse de que sus aplicaciones web realicen verificaciones de autenticaci\u00f3n y autorizaci\u00f3n para reducir los IDOR, y que el software sea seguro por dise\u00f1o, un principio promovido por CISA que insta a los fabricantes de software a incorporar seguridad desde el principio y en todo el software. proceso de desarrollo.<\/p>\n
\u201cSecure-by-design es un tema fundamental en este aviso. Se alienta a los proveedores y desarrolladores a tomar las medidas adecuadas para proporcionar productos que protejan los datos confidenciales de sus clientes por dise\u00f1o y por defecto\u201d, dijo Stanley de CISA.<\/p>\n
La agencia cibern\u00e9tica de Australia dijo que contin\u00faa observando a actores maliciosos que explotan redes mal configuradas.<\/p>\n
\u201cIncluso una sola infracci\u00f3n que utilice las vulnerabilidades de IDOR puede tener un impacto nacional. Un actor malicioso que pueda filtrar datos podr\u00eda afectar la infraestructura cr\u00edtica, las empresas, el gobierno y las personas\u201d, dijo Patrick Holmes, del Centro de Seguridad Cibern\u00e9tica de Australia.<\/p>\n<\/p><\/div>\n