Digest de Seguridad de Bases de Datos – Enero 2019
Por favor, echa un vistazo a los mayores incidentes de seguridad de bases de datos en enero de 2019.
Tower of Salem
Mientras otras personas disfrutaban de sus vacaciones de Navidad, más de 7.5 millones de jugadores de un famoso juego en línea Tower of Salem se vieron afectados por una filtración de datos causada por los desarrolladores del juego BlankMediaGames (BMG).
DeHashed, un proveedor de motor de búsqueda de bases de datos hackeadas, dijo en una publicación de blog que había recibido un correo electrónico anónimo ofreciendo un tesoro completo de datos recién vulnerados.
La compañía declaró que el incidente ocurrió debido a una vulnerabilidad de inclusión de archivos locales/remotos.
Los datos filtrados incluyen, pero no se limitan a: nombres de usuario, correos electrónicos, contraseñas, direcciones IP, toda la actividad en el juego y, más importante aún, información de pago. El recuento total de filas es: 8,388,894, con 7,633,234 direcciones de correo electrónico únicas.
Afortunadamente, BMG no almacena información de pago y de tarjetas bancarias, pero la información hackeada mencionada anteriormente podría ser fácilmente utilizada para lanzar intentos de phishing subsecuentes.
A BlankMediaGames le tomó unos días abordar el incidente. La compañía se disculpó con todos sus clientes, culpando al “terrible momento” del hackeo.
202 Millones de CVs
Una simple búsqueda en BinaryEdge o Shodan puede arrojar resultados muy interesantes. Por ejemplo, una enorme base de datos MongoDB que contiene CVs detallados de más de 202 millones de buscadores de empleo de China.
El enorme tesoro de 854GB contenía datos de 202.7 millones de individuos chinos que buscan empleo. Los datos sensibles incluían número de teléfono móvil, correo electrónico, estado civil, hijos, información sobre opiniones políticas, altura, peso, licencia de conducir, nivel de alfabetización, expectativas salariales y otra información personal. Los ciberdelincuentes pueden y van a usar esta información en ataques de phishing bien planificados.
El origen de los datos no se conoce, pero algunos investigadores de seguridad informática creen que toda esta información fue obtenida de sitios de CV de terceros. Otros creen que estos datos provienen de un repositorio de GitHub que contenía un código fuente de aplicación web con un patrón similar al utilizado en los CVs filtrados.
Esta base de datos fue asegurada poco después de que la información sobre ella se hiciera pública en Twitter, pero se desconoce cuánto tiempo estuvo allí totalmente expuesta. Los investigadores de seguridad informática dicen que pudo haber sido accedida por al menos una docena de IPs.
Google Multado Según el GDPR
En Francia, Google ha sido multado con €50m ($57m, £44m) de acuerdo con los requisitos regulatorios del GDPR. Esto ocurrió porque la compañía no notificó cómo se utiliza su información.
CNIL, el regulador francés, impuso la multa después de las quejas de dos organizaciones de derechos, noyb y La Quadrature du Net (LQDN).
CNIL dice que ha observado dos violaciones del Reglamento General de Protección de Datos (GDPR).
Actualizaciones de seguridad para bases de datos
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2019-2547https://nvd.nist.gov/vuln/detail/CVE-2019-2548
https://nvd.nist.gov/vuln/detail/CVE-2019-2549
https://nvd.nist.gov/vuln/detail/CVE-2019-2550
https://nvd.nist.gov/vuln/detail/CVE-2019-2552
https://nvd.nist.gov/vuln/detail/CVE-2019-2553
https://nvd.nist.gov/vuln/detail/CVE-2019-2554
https://nvd.nist.gov/vuln/detail/CVE-2019-2555
https://nvd.nist.gov/vuln/detail/CVE-2019-2545
https://nvd.nist.gov/vuln/detail/CVE-2019-2546
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2019-2529https://nvd.nist.gov/vuln/detail/CVE-2019-2537
https://nvd.nist.gov/vuln/detail/CVE-2017-18359
https://nvd.nist.gov/vuln/detail/CVE-2019-6799
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-14704https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2019-2420
https://nvd.nist.gov/vuln/detail/CVE-2019-2434
https://nvd.nist.gov/vuln/detail/CVE-2019-2435
https://nvd.nist.gov/vuln/detail/CVE-2019-2436
https://nvd.nist.gov/vuln/detail/CVE-2019-2455
https://nvd.nist.gov/vuln/detail/CVE-2019-2481
https://nvd.nist.gov/vuln/detail/CVE-2019-2482