- EY lanzó en línea una copia de seguridad SQL de 4 TB que contiene credenciales confidenciales y secretos de aplicaciones
- Neo Security advierte a EY; Los investigadores sospechan que los actores de amenazas ya han accedido a los datos.
- EY respondió profesionalmente pero tardó una semana en resolver completamente el problema.
Ernst & Young (EY), una de las empresas contables más grandes del mundo, mantiene una copia de seguridad completa de la base de datos en la Internet pública, cualquiera que sepa dónde buscar. La copia de seguridad, un archivo .BAK, tenía un tamaño de 4 TB y contenía información confidencial como esquemas, datos, procedimientos almacenados y “todos los secretos almacenados en esas tablas”.
Esto es según un investigador de seguridad de Neo Security, que estaba haciendo “trabajo de herramientas de bajo nivel” cuando un archivo BAK de SQL Server llamó su atención.
El investigador no descargó la base de datos completa (porque eso sería un delito), pero afirma que estos archivos generalmente contienen “claves API, tokens de sesión, credenciales de usuario, tokens de autenticación en caché, contraseñas de cuentas de servicio. Cualquier aplicación que se almacene en la base de datos. No solo un secreto… todos secretos”.
Respuesta “perfecta como libro de texto”
Los investigadores explicaron que los efectos podrían ser enormes. Un solo archivo BAK, abierto durante apenas unos minutos, era suficiente para que una empresa sufriera una vulneración y se infectara con ransomware.
“Encontrar una copia de seguridad SQL de 4 TB expuesta en la Internet pública es como encontrar el plano maestro y las claves físicas de la bóveda, simplemente ahí sentados. Con una nota que dice “Gratis para un buen hogar”, advirtieron.
Una vez confirmadas sus sospechas, los investigadores se comunicaron con EY para alertarlos sobre sus hallazgos. No sabían cuánto tiempo estuvo abierta la base de datos y dijeron que cada investigador responsable debería asumir que para entonces, múltiples actores de amenazas ya la habían robado.
Aun así, elogiaron a EY por su respuesta y dijeron que el equipo de TI de la empresa era “perfecto como un libro de texto”.
“Reconocimiento profesional. Sin actitud defensiva, sin amenazas legales. Simplemente: “Gracias. Estamos en ello”.
Aún así, a EY le tomó una semana completa clasificar y remediar completamente el problema: mucho tiempo para un problema en el que cada segundo cuenta.
a través de Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
