123 millones de registros filtrados por Decathlon

Ayer se informó de que el gigante francés de la venta deportiva Decathlon filtró más de 123 millones de registros a través de un servidor ElasticSearch mal protegido, dejando expuestos los datos de clientes y empleados.

La filtración fue detectada por los investigadores de seguridad Noam Rotem y Ran Locar en VPNmentor el 12th febrero, se notificó a Decathlon cuatro días más tarde, se investigó la filtración y se retiró el servidor poco después.

A la luz de la filtración de datos que afecta a la empresa minorista, que tiene 44 tiendas en el Reino Unido, he aquí la reacción de los expertos en ciberseguridad:

Peter Draper, Director Técnico – EMEA Gurucul:

«Los servidores de búsqueda elástica incorrectamente asegurados han estado en la prensa desde hace algún tiempo. Todas las organizaciones que funcionan con Elastic search deberían haberlos asegurado de forma proactiva a estas alturas, obviamente no es el caso.

Como mínimo, debería haber algún tipo de análisis de tráfico de red para ayudar a detectar el tráfico inusual si no se está utilizando una UEBA completa.»

Stuart Sharp, vicepresidente de ingeniería de soluciones de OneLogin:

«Es decepcionante que en 2020 sigamos viendo que los minoristas no siguen ni siquiera los pasos más básicos para asegurar los datos de sus clientes.

La gran mayoría de los sitios web nunca deberían necesitar almacenar la contraseña de un usuario (en su lugar se almacenan como un hash unidireccional y no reversible). Los minoristas con sitios web siguen siendo proveedores de servicios y tienen el deber de cuidar a sus usuarios para seguir las mejores prácticas de seguridad – el descubrimiento de una vulnerabilidad como esta debería impulsar a un proveedor de servicios a volver a la mesa de dibujo y tener un replanteamiento radical de su enfoque de la seguridad.

Las contraseñas nunca deben estar a la vista, y todos los almacenes de datos deben ser revisados y probados regularmente para garantizar su seguridad. Los consumidores que piensen que pueden estar afectados deben asegurarse de actualizar las contraseñas en cualquier sitio web en el que hayan utilizado la misma contraseña y asegurarse de que activan el 2FA en cualquier sitio que tenga información personal, especialmente en aquellos que guardan los datos de sus tarjetas de crédito.»

Hugo van den Toorn, director de seguridad ofensiva en Outpost24:

«Lamentablemente, otra base de datos elástica abierta al público, que no tiene nada que ver con el producto en sí, sino puramente con la forma en que el proveedor ha decidido configurar su infraestructura y desplegar su software. Con las innumerables posibilidades de «desplegar rápidamente un sistema en la nube», las organizaciones suelen pasar por alto la seguridad. A medida que los conjuntos de datos alcanzan estos tamaños y contienen esta información sensible, los datos son cada vez más valiosos para nuestro negocio y, en algunos casos, incluso más valiosos que el dinero.

Por desgracia, no todo el mundo protege (sus) datos como el valioso activo que son. Incluso después de que los proveedores hagan declaraciones como «nos tomamos en serio su seguridad y su privacidad», a menudo vemos que la seguridad termina en algún lugar al final de la lista de prioridades… Suponiendo que haya llegado a la lista de prioridades».

Marco Essomba, fundador de iCyber-Security:

«Es imprescindible que las empresas comprendan que las infraestructuras en la nube conllevan un riesgo considerable de robo de datos & las organizaciones deben realizar pruebas de seguridad periódicas para asegurarse de que los servidores no están mal configurados cuando se despliegan en la nube. Esto se puede hacer mediante la realización de una evaluación continua de la vulnerabilidad, de modo que cuando los servidores estén expuestos en Internet se puedan detectar los fallos de seguridad & remediarlos rápidamente antes de que se produzca cualquier daño.

A medida que más organizaciones migran a la nube, este tipo de fugas está destinado a aumentar porque la seguridad es muy a menudo una idea tardía. Deben establecerse controles de seguridad rigurosos para garantizar que, cuando se trasladen los servidores a la nube, se incluyan controles de seguridad como parte del proceso de migración».

Warren Poschman, arquitecto de soluciones senior de comforte AG:

» Otra semana, otro servidor ElasticSearch mal configurado. Esta vez, por desgracia, el gigante del deporte y la fabricación de Decathalon es la víctima. Está claro que aquellos que optan por utilizar bases de datos basadas en la nube deben realizar la debida diligencia para configurar y asegurar cada rincón del sistema correctamente. Lamentablemente, con la reciente ola de violaciones de ElasticSearch, MongoDB, Big Data y otros productos de código abierto, parece que la seguridad no se está tomando lo suficientemente en serio. El hecho de que un producto esté disponible libremente y sea altamente escalable no significa que se puedan omitir las recomendaciones y configuraciones básicas de seguridad. Más allá de asegurarse de que los productos y servicios se despliegan correctamente y son mantenidos por personal competente y experimentado, las organizaciones también deben asegurar sus datos basados en la nube adoptando un modelo de seguridad centrado en los datos que proteja los datos en reposo, en movimiento y en uso, incluso si un sistema correctamente configurado se ve comprometido. Si alguien sigue durmiendo mientras sueña que sus datos están a salvo mientras están «escondidos a plena vista» en un recurso «anónimo» en la nube, la cadena de fallos en torno a las instancias de ElasticSearch es una llamada de atención en forma de alarma de incendio a las 3 de la mañana»