Justo cuando estábamos terminando las secuelas de la violación de Equifax, ¿ cómo fue eso hace ya dos años? Nos enfrentamos a otra violación de aproximadamente el mismo orden de magnitud.
Capital One se vio afectado por una violación de datos en marzo. El pirata informático obtuvo acceso a información relacionada con las solicitudes de tarjetas de crédito desde 2005 hasta principios de 2019 para consumidores y pequeñas empresas. Según el banco, la violación afectó a unos 100 millones de personas en los Estados Unidos y a unos 6 millones de personas en Canadá.
Lo que es muy diferente en esta violación es que un sospechoso ya ha sido detenido. Además de eso, la sospechosa admitió que actuó ilegalmente y reveló el método que usó para obtener los datos. Por el comportamiento del sospechoso, casi asumirías que quería ser atrapada. Ella hizo un esfuerzo mínimo para ocultar su identidad cuando habló de tener acceso a los datos, casi alardeando en línea de cuánto había podido copiar.
¿Que pasó?
Una ex ingeniera de software de una compañía de tecnología que solía ser empleada por Amazon Web Services (AWS) estaba almacenando la información que obtuvo de la violación en un repositorio de acceso público. AWS es la empresa de alojamiento en la nube que Capital One estaba usando. De las presentaciones judiciales podemos concluir que Paige Thompson utilizó su conocimiento práctico de cómo funciona AWS y lo combinó con la explotación de un firewall de aplicación web mal configurado. Como resultado, pudo copiar grandes cantidades de datos de los cubos de AWS. Publicó acerca de tener esta información en varias plataformas que conducen a que alguien informe el hecho a Capital One. Esto condujo a la investigación de la violación y al arresto del sospechoso.
¿Cómo deben proceder los clientes de Capital One?
Capital One ha prometido llegar a todas las personas potencialmente afectadas por la violación y proporcionar servicios gratuitos de monitoreo de crédito y protección de identidad. Si bien Capital One declaró que ninguna credencial de inicio de sesión se vio comprometida, no estaría de más cambiar su contraseña si es un cliente actual o si solicitó recientemente una tarjeta de crédito con la compañía. Para otros consejos útiles, puede leer nuestra publicación de blog sobre cómo mantenerse a salvo después de la violación de Equifax. Encontrará una gran cantidad de consejos para evitar los peores problemas. También tenga cuidado con las estafas habituales que entrarán en línea como spin-offs de esta violación.
¿Qué pueden aprender otras empresas de este incidente?
Si bien la vulnerabilidad se ha solucionado, hay otras lecciones que aprender de este incidente.
Aunque no es práctico para las empresas del tamaño de Capital One ejecutar sus propios servicios web, podemos preguntarnos si toda la información confidencial necesita ser almacenada en un lugar donde no tenemos control total. Empresas como Capital One utilizan estos servicios de alojamiento para escalabilidad, redundancia y protección. Una de las ventajas es que los empleados de todo el mundo pueden acceder, almacenar y recuperar cualquier cantidad de datos. Esto también puede ser el inconveniente en casos de empleados descontentos o servicios de Gestión de Identidad y Acceso (IAM) mal configurados. Cualquier persona que pueda hacerse pasar con éxito por un empleado con derechos de acceso puede usar los mismos datos para sus propios fines. Amazon Elastic Compute Cloud (EC2) es un servicio basado en la web que permite a las empresas ejecutar programas de aplicación en la nube pública de AWS. Cuando ejecuta la interfaz de línea de comandos de AWS desde una instancia de Amazon EC2, puede simplificar el suministro de credenciales a sus comandos. Según las presentaciones de la corte, parece que aquí es donde se explotó la vulnerabilidad.
Las empresas que usan AWS y servicios de alojamiento en la nube similares deben prestar atención a:
- Aprovisionamiento de IAM: Sea restrictivo al asignar roles de IAM, de modo que el acceso se limite a aquellos que lo necesitan y se elimine de aquellos que ya no lo necesitan.
- Metadatos de instancia: limite el acceso a los metadatos EC2, ya que se puede abusar de ellos para asumir un rol de IAM con permisos que no pertenecen al usuario.
- Monitoreo integral: si bien el monitoreo es importante para cada servidor e instancia que contiene datos importantes, es imprescindible aplicar una consideración adicional a aquellos que son accesibles a través de Internet. Las alarmas deberían haberse activado tan pronto como se utilizó TOR para acceder al EC2.
- Configuraciones erróneas: si no tiene el conocimiento interno o desea verificar dos veces, existen servicios profesionales que pueden buscar servidores mal configurados.
Irónicamente, Capital One ha lanzado algunas herramientas de código abierto muy útiles para el cumplimiento de AWS y ha demostrado tener el conocimiento interno. Capital One siempre ha estado más en el lado de Fintech que la mayoría de los bancos tradicionales, y fueron los primeros en usar el Cloud . Por lo tanto, el hecho de que esta violación les haya sucedido es bastante preocupante, ya que esperaríamos que otros bancos sean aún más vulnerables.
Mantente publicado
A pesar de que ya conocemos muchos más detalles sobre esta violación de datos de lo habitual, seguiremos este a medida que se desenrede aún más.
Si desea hacer un seguimiento directo con algunos recursos, puede hacer clic a continuación:
Sobre el autor