Departamento de Valores de Oklahoma: expone accidentalmente 3 Terabytes de datos sensibles

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Una gran cantidad de datos gubernamentales pertenecientes al Departamento de Valores de Oklahoma (ODS) se dejó sin asegurar en un servidor de almacenamiento durante al menos una semana, exponiendo la friolera de 3 terabytes de datos que contienen millones de archivos confidenciales.

El servidor de almacenamiento no seguro, descubierto por Greg Pollock, investigador privado de seguridad cibernética, también contenía décadas de archivos confidenciales de casos de la Comisión de Valores de Oklahoma y muchas investigaciones confidenciales del FBI, todas abiertas y accesibles para todos sin ninguna contraseña.

Otros archivos graves expuestos incluían correos electrónicos, números de seguridad social, nombres y direcciones de 10,000 corredores, credenciales para el acceso remoto a estaciones de trabajo ODS y comunicaciones destinadas a la Comisión de Valores de Oklahoma, junto con una lista de información identificable relacionada con pacientes con SIDA.

Si bien el investigador no sabe exactamente cuánto tiempo estuvo abierto el servidor al público, el motor de búsqueda de Shodan reveló que el servidor había estado abierto al público desde al menos el 30 de noviembre de 2018, casi una semana después (el 7 de diciembre) Pollock lo descubrió.

El equipo de investigación notificó al departamento de ODS al día siguiente, y la agencia estatal eliminó el «acceso público» a la vía no segura inmediatamente después de que fueron notificados, aunque aún no está claro si alguien más accedió al servidor no seguro.

Dicha exposición podría tener un «impacto severo» en la integridad de la red del departamento.

Según las mejores mediciones disponibles de los contenidos y metadatos de los archivos, los datos se generaron durante décadas, los datos más antiguos se originaron en 1986 y los más recientes se modificaron en 2016.

Los datos se expusieron a través de un servicio rsync no seguro en una dirección IP registrada en la Oficina de Administración y Servicios Empresariales de Oklahoma, permitiendo a cualquier usuario de cualquier dirección IP descargar todos los archivos almacenados en el servidor.

La investigación también reveló que accedió a contraseñas que podrían haber permitido a cibercriminales acceder de forma remota a las estaciones de trabajo de la agencia estatal, y una hoja de cálculo con información de inicio de sesión y contraseñas para varios servicios de Internet, incluido un popular software antivirus.

 

 

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris