Descubren
agujeros de seguridad en 39.890 bases de datos online
Por culpa de un software de base de datos de código abierto mal
configurado sobre el que basan sus servicios millones de tiendas online y otras
plataformas en internet de todo el mundo, se ha venido arrastrando un peligroso
agujero de seguridad, ahora revelado. Si los operadores no modifican la
configuración por defecto durante el proceso de instalación y no tienen en
cuenta detalles cruciales, los datos quedan disponibles online, completamente
desprotegidos. El centro CISPA, especializado en seguridad de la información,
con sede en la ciudad alemana de Sarrebruck, donde se ha hecho el hallazgo, ya
ha contactado al vendedor y a las autoridades competentes de protección de datos.
No es un fallo complejo, pero su efecto es desastroso, tal como comenta
Michael Backes, profesor de seguridad de la información y criptografía en la
Universidad de Sarre (Saarland) y director del CISPA. Backes fue contactado por
Kai Greshake, Eric Petryka y Jens Heyens del citado centro a finales de enero.
Heyens es un estudiante de ciberseguridad en la Universidad de Sarre, y sus dos
compañeros estudiantes planean concentrarse en este tema durante el próximo
semestre. El fallo que los tres jóvenes investigadores detectaron afecta a
39.890 bases de datos. El agujero de seguridad permite que sean accesibles
online sin estar protegidas por ningún mecanismo de defensa. Se tienen incluso
permisos para actualizar y cambiar datos. Los investigadores no tardaron en
percatarse de que estas bases de datos no se dejaban abiertas a propósito. El
vendedor de la base de datos es MongoDB Inc. Su base de datos MongoDB es una de
las más ampliamente utilizadas en todo el mundo entre las de código abierto.
Kai Greshake, Eric Petryka y Jens Heyens. (Foto: CISPA / Universidad de
Sarre)
En los minutos posteriores a su hallazgo del primer caso, los
investigadores detectaron asimismo el serio problema en muchas otras bases de
datos. Incluso encontraron una base de datos de clientes que podría pertenecer
a un proveedor de servicios de Internet y de teléfonos móviles francés. Esta
base contenía las direcciones y números de teléfono de alrededor de ocho
millones de clientes. Greshake, Petryka y Heyens detectaron también una base de
datos no protegida de una tienda online alemana, incluyendo información de
pagos.
Los investigadores del CISPA contactaron con MongoDB Inc. de forma
inmediata, para que hiciera las oportunas correcciones, así como con las
correspondientes autoridades nacionales e internacionales para que tomaran las
medidas adecuadas de seguridad.
No hay comentarios:
Publicar un comentario