El desarrollador de juegos japonés Ateam ha demostrado que un simple error de configuración de Google Drive puede resultar en la exposición potencial, pero poco probable, de información confidencial para casi un millón de personas durante un período de seis años y ocho meses.
La firma japonesa es un creador de contenido y juegos móviles, que engloba a Ateam Entertainment, que tiene múltiples juegos en Google Play como War of Legions , Dark Summoner , Hatsune Miku – Tap Wonder y herramientas como Memory Clear | Game Boost Master y Alarma de sueño de buenas noches
A principios de diciembre, Ateam informó a los usuarios de sus aplicaciones y servicios, empleados y socios comerciales que el 21 de noviembre de 2023 descubrió que había configurado incorrectamente una instancia de almacenamiento en la nube de Google Drive en "Cualquiera en Internet con el enlace puede ver". desde marzo de 2017.
La instancia de Google Drive configurada de forma insegura contenía 1.369 archivos con información personal sobre clientes de Ateam, socios comerciales de Ateam, empleados actuales y anteriores, e incluso pasantes y personas que solicitaron un puesto en la empresa.
Ateam ha confirmado que 935.779 personas tuvieron sus datos expuestos, de los cuales el 98,9% eran clientes. Específicamente para Ateam Entertainment, 735,710 personas han estado expuestas.
Los datos expuestos por esta mala configuración varían dependiendo del tipo de relación que cada individuo tenía con la empresa y pueden incluir los siguientes:
- Nombres completos
- Correos electrónicos
- Números de teléfono
- Números de gestión de clientes
- Números de identificación de terminal (dispositivo)
La compañía dice que no ha visto evidencia concreta de que los actores de amenazas hayan robado la información expuesta, pero insta a las personas a permanecer atentas a las comunicaciones sospechosas y no solicitadas.
Asegure sus servicios en la nube
Configurar Google Drive en "Cualquiera que tenga el enlace puede verlo" hace que sea visible sólo para aquellos con la URL exacta, normalmente reservada para la colaboración entre personas que trabajan con datos no confidenciales.
Si un empleado, u otra persona con el enlace, lo expusiera públicamente por error, los motores de búsqueda podrían indexarlo y volverlo ampliamente accesible.
Si bien es poco probable que alguien haya encontrado por sí solo una URL de Google Drive expuesta, esta notificación demuestra la necesidad de que las empresas protejan adecuadamente sus servicios en la nube para evitar que los datos queden expuestos por error.
Es muy común que los investigadores y los actores de amenazas encuentren servicios en la nube expuestos, como bases de datos y depósitos de almacenamiento, y descarguen los datos contenidos en ellos.
Si bien los investigadores generalmente divulgan de manera responsable los datos expuestos, si los actores de amenazas los encuentran, puede generar problemas mayores, ya que los usan para extorsionar a las empresas o venderlos a otros piratas informáticos para que los utilicen en sus propios ataques.
En 2017, el investigador de seguridad Chris Vickery encontró depósitos de Amazon S3 mal configurados que exponían bases de datos que contenían 1.800 millones de publicaciones en redes sociales y foros realizadas por usuarios de todo el mundo.
Diez días después, el mismo investigador descubrió otro depósito S3 mal configurado que exponía lo que parecía ser información clasificada de INSCOM .
Si bien esas infracciones se divulgaron de manera responsable, otras configuraciones erróneas del servicio en la nube han provocado que los datos se filtren o se vendan en foros de piratas informáticos .
Los depósitos mal configurados de Amazon S3 se han convertido en un problema lo suficientemente grande como para que los investigadores hayan lanzado herramientas que escanean en busca de depósitos expuestos .
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también ha publicado una guía para las empresas sobre cómo proteger adecuadamente los servicios en la nube.
0 Comentarios