Ir al contenido principal
INTELLIGENCE DIGEST

Es Plano Ver - Los servidores inseguros pueden poner vidas en peligro

Cómo un cubo de Amazon S3 expuesto dejó al descubierto 3 TB de datos confidenciales de aeropuertos

6 de julio de 2022

Por Rodman Ramezanian - Asesor de seguridad de la nube empresarial

Un servidor no seguro ha expuesto datos sensibles pertenecientes a empleados de aeropuertos de Colombia y Perú. Los buckets de AWS S3 que contenían aproximadamente 3 TB de datos que se remontaban a 2018 consistían en registros de empleados de aeropuertos, fotos de tarjetas de identificación e información de identificación personal (PII), incluidos nombres, fotos, ocupaciones y números de identificación nacional.

La seguridad aeroportuaria protege la vida de los viajeros y del personal de los aeropuertos. Como tal, esta brecha, que fue descubierta por SafetyDetectives, es extremadamente peligrosa con consecuencias potencialmente devastadoras si el contenido del bucket terminara en las manos equivocadas. En Colombia, Perú y en todo el mundo, los criminales de la guerrilla y las organizaciones terroristas suponen ahora una grave amenaza si accedieran a este bucket de AWS S3 no seguro.

Lamentablemente, este tipo de brechas e incidentes no son novedosos ni únicos en los tropiezos de las organizaciones en la nube.

Parte del problema es la velocidad imprevista con la que muchas organizaciones han emprendido su proceso de adopción de la nube, en una carrera desesperada por aprovisionar a sus empleados para que puedan trabajar a distancia como consecuencia de la pandemia COVID-19. Como era de esperar, los actores de amenazas y los grupos APT, saborean estas perspectivas.

Figura 1. Número de recursos IaaS no conformes desplegados en AWS: Skyhigh Security.

¿Cómo se produjeron estas infracciones?

La mayoría de las organizaciones que no controlan el uso de la nube pública compartirán indebidamente datos confidenciales. Desgraciadamente, titulares como estos ponen de relieve ejemplos de una violación de datos debida a un error de configuración simple pero perjudicial: un servicio de almacenamiento en la nube no seguro y expuesto. Las complejidades en torno a la gestión de identidades, los permisos de acceso, las configuraciones seguras, la protección de datos y mucho más, dan lugar continuamente a una mala higiene de la seguridad en la nube y, en última instancia, a la exposición de los datos.

¿Qué se puede hacer?

Idealmente, reforzar los permisos de lectura/escritura puede ser la primera y única reacción que le venga a la mente. En realidad, hará falta mucho más que eso; gracias a las amplias formas en que se puede acceder a los almacenamientos en la nube y hacer un uso indebido de ellos. Skyhigh Security aborda estos retos y minimiza los riesgos asociados aplicando una serie de capacidades fundamentales, gracias a las estrechas integraciones en muchas plataformas en la nube.

Mientras siguen surgiendo brechas globales a manos de ataques de ransomware y actores criminales, la gestión de la postura de seguridad en la nube, las evaluaciones de vulnerabilidad, las auditorías de configuración y las capacidades de protección de datos de Skyhigh Securityayudan a las organizaciones aplicando continuamente una seguridad óptima al tiempo que reducen las complejidades relacionadas con la gestión del almacenamiento en entornos de múltiples nubes.

Figura 2. Skyhigh Security Auditorías de configuración de los servicios en la nube (resultados filtrados).

 

Utilice Skyhigh Security?

Rodman Ramezanian

Sobre el autor

Rodman Ramezanian

Asesor de seguridad de la nube empresarial

Con más de 11 años de amplia experiencia en el sector de la ciberseguridad, Rodman Ramezanian es asesor de seguridad en la nube para empresas, responsable de asesoramiento técnico, habilitación, diseño de soluciones y arquitectura en Skyhigh Security. En este puesto, Rodman se centra principalmente en organizaciones del Gobierno Federal Australiano, Defensa y Empresas.

Rodman está especializado en las áreas de Inteligencia de Amenazas Adversarias, Ciberdelincuencia, Protección de Datos y Seguridad en la Nube. Es evaluador IRAP avalado por la Dirección Australiana de Señales (ASD). Actualmente posee las certificaciones CISSP, CCSP, CISA, CDPSE, Microsoft Azure y MITRE ATT&CK CTI.

Con franqueza, Rodman siente una gran pasión por articular asuntos complejos en términos sencillos, ayudando al ciudadano de a pie y a los nuevos profesionales de la seguridad a entender el qué, el por qué y el cómo de la ciberseguridad.

Lo más destacado del ataque

  • Un proveedor de servicios de seguridad configura erróneamente un bucket S3 de AWS que contiene ~1,5 millones de archivos (3TB)
  • El cubo no seguro era de acceso público, abierto, no requería autenticación para el acceso
  • La información expuesta incluía la IIP de los empleados y datos sensibles de la empresa de al menos cuatro aeropuertos de Colombia y Perú
  • Los datos también incluían fotos de empleados de la aerolínea, aviones, conductos de combustible, documentos nacionales de identidad, coordenadas de mapas GPS y equipaje
  • Aplicaciones móviles Android contenidas en cubos, utilizadas por el personal de seguridad para ayudar con la notificación de incidentes y el manejo de datos.
  • Las tarjetas de identificación con foto filtradas de los aeropuertos presentan graves amenazas de organizaciones terroristas y grupos delictivos