Digest de Seguridad de Bases de Datos – Noviembre 2018
Por favor, echa un vistazo a los mayores incidentes de seguridad de bases de datos en noviembre de 2018.
Voxox
Voxox, un proveedor de comunicaciones de San Diego ha filtrado una base de datos que contiene al menos 26 millones de mensajes de texto, la mayoría de los cuales son enlaces para restablecer contraseñas, códigos de autenticación de dos factores y notificaciones de envío.
Se ha descubierto que la base de datos no estaba protegida con contraseña y eso resultó en la exposición de datos personales sensibles, números de teléfono y mensajes de códigos de autenticación de dos factores, etc. Lo que hizo que esta filtración de datos fuera más peligrosa es el hecho de que los mensajes estaban siendo expuestos casi en tiempo real.
Esta información es muy útil para los criminales involucrados en el secuestro de cuentas. La principal razón de esta exposición de datos es el hecho de que la base de datos no estaba protegida con contraseña. Y este es el primer paso para asegurar datos.
Es imposible para los humanos llevar a cabo la supervisión continua de todos los activos de TI propietarios. ¡Solo la máquina puede hacerlo! DataSunrise Database Security Suite tiene varios módulos que pueden hacer eso y mucho más. ¡Por favor, descarga tu versión de prueba ahora mismo!
Servicio Postal de EE. UU.
Los detalles de 60 millones de cuentas de clientes del Servicio Postal de EE. UU. se han expuesto debido a una vulnerabilidad en la API.
El USPS ofreció a las empresas un servicio llamado “Informed Visibility” que les permitía obtener datos de seguimiento sobre paquetes casi en tiempo real. Pero junto con esta información, la API también permitía a cualquier persona conectada en el sitio web oficial de la empresa consultar los detalles de la cuenta de cualquier otro usuario del sitio web e incluso cambiar información sensible.
Según los investigadores, cualquier cibercriminal potencial podría tener acceso a direcciones de correo electrónico, nombres de usuario, ID de usuario, números de cuenta, direcciones, números de teléfono.
Además, los investigadores dicen que los desarrolladores de la API olvidaron añadir el elemento clave de la ciberseguridad al diseñar la API: controles de acceso.
El USPS afirma que la posible exposición de datos no ha sido utilizada en ningún intento criminal y se están tomando este accidente muy en serio.
Atrium Health
Atrium Health, un proveedor de programas de salud y bienestar, anteriormente conocido como Carolinas HealthCare Systems, ha hecho un anuncio sobre una violación masiva de datos. Después de que el proveedor de terceros de la empresa, AccuDoc, fuera hackeado, Atrium Health anunció que aproximadamente 2.65 millones de registros de pacientes podían haber sido comprometidos. Los datos expuestos incluyen los detalles del seguro de los pacientes, números de registros médicos, números de facturas, direcciones, fechas de nacimiento y números de seguro social.
Los investigadores de seguridad de TI dicen que la gestión de riesgos de terceros es un problema muy importante hoy en día. La protección de la base de datos de su empresa puede ser muy eficiente pero cuando se trata de compartir datos propietarios con terceros pueden surgir grandes problemas. Por lo tanto, las empresas deben tener mucho cuidado al elegir un proveedor, socio o cuando expanden su negocio.
Se ha iniciado una investigación forense por ambas empresas.
Marriott
Marriott, la famosa cadena hotelera ha confirmado que los detalles sensibles de 500 millones de sus clientes pueden haber sido posiblemente comprometidos.
En la declaración oficial, la empresa dice que en septiembre de 2018 Marriott fue alertado por su herramienta de seguridad interna sobre un intento de acceder a una de sus bases de datos de reservas de huéspedes. La empresa inmediatamente comenzó una investigación para entender lo que estaba sucediendo.
Marriott pronto supo que alguien había tenido acceso no autorizado a su red interna desde 2014. La información accedida había sido copiada y encriptada y se habían tomado algunas medidas para eliminar la información. En noviembre de 2018 la empresa finalmente pudo desencriptar la información.
La empresa teme que hasta aproximadamente 500 millones de huéspedes que hicieron una reserva pueden estar en la base de datos expuesta. Los datos incluyen lo siguiente: nombres, direcciones postales, números de teléfono, correos electrónicos, números de pasaporte, información de cuentas de clientes, fechas de nacimiento, género, información de llegada y salida, fechas de reserva y preferencias de comunicación.
Actualizaciones de seguridad para bases de datos
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-5407MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-18982MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-15768https://nvd.nist.gov/vuln/detail/CVE-2018-19654
https://nvd.nist.gov/vuln/detail/CVE-2018-19558
https://nvd.nist.gov/vuln/detail/CVE-2018-19328
https://nvd.nist.gov/vuln/detail/CVE-2018-18805
https://nvd.nist.gov/vuln/detail/CVE-2018-19222
MS SQL Azure
https://nvd.nist.gov/vuln/detail/CVE-2018-8600IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1897https://nvd.nist.gov/vuln/detail/CVE-2018-1857
https://nvd.nist.gov/vuln/detail/CVE-2018-1834
https://nvd.nist.gov/vuln/detail/CVE-2018-1802
https://nvd.nist.gov/vuln/detail/CVE-2018-1799
https://nvd.nist.gov/vuln/detail/CVE-2018-1781
https://nvd.nist.gov/vuln/detail/CVE-2018-1780
Apache Hive
https://nvd.nist.gov/vuln/detail/CVE-2018-17187https://nvd.nist.gov/vuln/detail/CVE-2018-1314
https://nvd.nist.gov/vuln/detail/CVE-2018-11777