Una base de datos vinculada a SL Data Services, un corredor de datos con sede en EE. UU., ha expuesto 644.869 registros confidenciales en línea. Los registros incluían información de identificación personal, detalles de propiedad, registros de vehículos, registros judiciales y documentos de verificación de antecedentes, y carecían de protección con contraseña o cifrado.
El investigador de seguridad Jeremiah Fowler descubrió la exposición y la informó al sitio de revisión e investigación cibernética WebsitePlanet. Observó una muestra de los documentos almacenados en la base de datos de 713,1 GB y dijo que el 95% estaban etiquetados como “verificación de antecedentes”.
Los documentos de este tipo contenían nombres completos, domicilios, números de teléfono, direcciones de correo electrónico, información laboral, familiares, cuentas de redes sociales e antecedentes penales. Fowler verificó que algunas personas identificadas vivían en las direcciones indicadas.
“Esta información proporciona un perfil completo de estas personas y plantea consideraciones de privacidad potencialmente preocupantes”, escribió en un informe.
Fowler creía que un informe de propiedad solicitado a SL Data Services se almacenaría en una base de datos a la que el cliente podría acceder a través de un portal web. El único problema es que “si conoce la ruta del archivo, sabe dónde se almacenan los documentos”, le dijo a TechRepublic en un correo electrónico.
Añadió: “Esta empresa utilizó una base de datos para múltiples dominios y no utilizó ninguna segmentación más que las carpetas con el nombre del sitio web”.
El acceso a la base de datos estuvo restringido durante más de una semana después de que Fowler notificara a SL Data Services sobre la exposición. Sólo pudo conectarse con los agentes del centro de llamadas, quienes le informaron que una infracción sería imposible porque la empresa utiliza un SSL con cifrado de 128 bits.
Durante esa semana, el número de registros que contenía aumentó en más de 150.000. Se desconoce cuánto tiempo estuvo accesible públicamente la base de datos, ni si alguien accedió a ella.
VER: Proyecto de ley (uso y acceso) a datos: ¿Qué es y cómo afecta a las empresas del Reino Unido?
Los datos expuestos ponen a las personas en riesgo de sufrir ataques de phishing
La mayor preocupación en torno a los datos expuestos es la oportunidad que crean para organizar ataques convincentes de phishing e ingeniería social. Un delincuente puede utilizar la información para hacerse pasar por una persona o atacar a una persona cuyos datos quedaron expuestos en un documento de verificación de antecedentes.
“Los delincuentes podrían potencialmente aprovechar información sobre familiares, empleo o casos penales para obtener información personal confidencial adicional, datos financieros u otras amenazas a la privacidad”, escribió Fowler en el informe.
Las empresas que almacenan información personal deben monitorear constantemente los registros de acceso para detectar actividades sospechosas, como visualizaciones o descargas masivas de archivos. También deben abstenerse de utilizar PII en el sistema de nombres de archivos, ya que los usuarios no autorizados pueden leerlos simplemente abriendo el directorio o los metadatos del archivo. Como alternativa, se recomienda utilizar identificadores aleatorios y hash como nombres de archivos.
¿Quién es ‘SL Data Services’?
SL Data Services proporciona “informes inmobiliarios completos para bienes raíces residenciales en todo EE. UU.” y fue fundada en 2023, según su acreditado Página del Better Business Bureau. Sin embargo, algunas reseñas sugieren prácticas engañosas, en las que los clientes solicitan un informe de propiedad por 1 dólar pero luego reciben cargos mensuales posteriores en su tarjeta de crédito de hasta 20 dólares a pesar de afirmar no haber dado su consentimiento para una suscripción.
Según Fowler, SL Data Services opera una red de aproximadamente 16 sitios web. Esto se debe a que las carpetas dentro de la base de datos expuesta fueron nombradas con dominios de sitios web separados.
Su página Better Business Bureau proporciona el nombre comercial alternativo de “propertyrecs.com LLC”, que parece ser otro proveedor de registros de propiedad. Sin embargo, Fowler llamó a la empresa y le dijeron que también proporciona controles penales, registros de vehículos y registros de nacimiento y defunción.
Las opiniones de la empresa sobre piloto de confianza indican que a los usuarios de PropertyRecs a menudo se les cobra una tarifa de suscripción a la que no se registraron intencionalmente, similar a SL Data Services.
A pesar de la rescisión del acceso público a la base de datos, Fowler no ha tenido noticias de SL Data Services ni de PropertyRecs. TechRepublic también se acercó a las empresas pero no recibió respuesta. No hay confirmación de que la base de datos expuesta sea propiedad de SL Data Service, PropertyRecs o un contratista externo.
Los proveedores de servicios de información son los principales objetivos de los ciberatacantes
Este no es el primer caso este año en el que un proveedor de servicios de información no protege adecuadamente sus datos. En agosto, un hacker descargó 2.700 millones de registros de datos de National Public Dataun servicio de verificación de antecedentes, en un foro de la web oscura en una de las mayores filtraciones de la historia.
Se cree que los atacantes obtuvieron acceso inicial a National Public Data a través de una propiedad hermana, RecordsCheck, que alojaba un archivo de nombres de usuario y contraseñas en texto plano para diferentes componentes de su sitio, incluido su administrador. El archivo indicó que a todos los usuarios del sitio se les dio la misma contraseña de seis caracteres de forma predeterminada, pero muchos nunca la cambiaron.
Desde entonces, los datos públicos nacionales se declaró en quiebraalegando que no puede soportar el daño financiero y de reputación que resultó de la violación.
En 2023, Precaución y Jaque mate instantáneootras dos empresas de verificación de antecedentes, confirmaron que 20 millones de sus clientes se habían visto afectados por una violación de datos. Afirman que los datos fueron robados del almacenamiento en la nube de un antiguo proveedor de servicios.
“He visto numerosos casos de una empresa relativamente pequeña con acceso a cantidades masivas de datos y una seguridad de datos laxa”, dijo Fowler a TechRepublic. “Parece que muchos corredores de datos invierten en datos pero no en tecnología de protección de datos.
“Los datos son valiosos y cada año hay más empresas que se meten en el negocio de recopilar, compartir y vender información. Cuando las nuevas empresas ingresan al mercado, como cualquier negocio, se centran en las ventas y los ingresos y, a menudo, no crean una infraestructura segura para administrar y entregar sus datos.
“Cuando se trata de PII, tiene que haber estándares y responsabilidad más altos, y las empresas que ingresan a este mercado necesitan más supervisión por razones obvias, y hasta que existan regulaciones, seguiremos viendo este tipo de violaciones de datos”.
Fowler recomienda que, antes de registrarse con un corredor de datos, pregunte sobre sus métodos de almacenamiento de datos y las pruebas de penetración o la frecuencia de escaneo de vulnerabilidades. “Si la empresa se toma en serio la protección de datos, pondrá a alguien a disposición o proporcionará información adicional”, dijo a TechRepublic.
