Digest de Seguridad de Base de Datos – Mayo 2018
Por favor, eche un vistazo a las noticias de seguridad de bases de datos en mayo de 2018.
Importante Avance en la Protección de Datos Personales – Introducción del GDPR
El Reglamento General de Protección de Datos fue introducido el 25 de mayo de 2018 en la Unión Europea. En los últimos años se han producido brechas de datos masivas que han afectado a cientos de millones de personas. Por lo tanto, no es de extrañar que los legisladores estén haciendo más estrictos los requisitos de protección de datos e introduciendo nuevas regulaciones y requisitos.
La mayoría de las empresas multinacionales y, por supuesto, las empresas en la UE deben cumplir con el GDPR antes de finales de mayo de 2018. Pero digamos que eres una empresa con sede en EE. UU. sin operaciones directas en la UE. ¿Se aplicará este reglamento a ti? Piénsalo de nuevo si tu respuesta es “no”. El significado de “datos personales” bajo el GDPR abarca más de lo que entendemos en EE. UU. Cosas como nombres, identificaciones, información de ubicación, etc. se consideran “información personal”. La “información personal” incluye incluso direcciones IP, strings de cookies, publicaciones en redes sociales, contratos en línea e identificaciones de dispositivos móviles.
Ahora podrías estar pensando que Europa está muy lejos, y que no tienes operaciones directas allí, ¿verdad? Bien, si eres una empresa estadounidense con una presencia en Internet y vendes o envías productos a un país de la UE o simplemente aceptas dinero europeo por tus productos o servicios, el GDPR se aplicará a tu empresa.
Ahora sobre el no cumplimiento del GDPR. El precio es alto. Por no cumplir, la multa puede llegar hasta el 4% de la facturación anual global de la empresa del ejercicio financiero anterior o 20 millones de Euros (lo que sea mayor) y 2% o €10 millones de Euros (lo que sea mayor) por infracciones de menor importancia. Por ejemplo, si una empresa no informa de una brecha a un regulador de datos dentro de las 72 horas (lo cual es requerido por el Artículo 33 del GDPR) podría pagar una multa del 2% de sus ingresos globales o 10 millones de Euros (lo que sea mayor).
DataSunrise hace que el proceso de cumplimiento del GDPR, que a veces es un proceso desalentador para las empresas, sea cuestión de unos pocos clics del ratón.
Fuga de datos en Sudáfrica
El cibercrimen no conoce fronteras. Utilizando Internet, los ciberdelincuentes pueden hackear casi cualquier base de datos, incluso la protegida, si la seguridad de la base de datos es débil.
Las autoridades sudafricanas han sido advertidas muchas veces de que su país podría ser el próximo objetivo de los ciberataques. Entre las próximas posibles víctimas del cibercrimen están India y países de América Latina.
Esta fuga de datos sigue a otra que ocurrió hace menos de un año, resultando en la publicación de alrededor de 60 millones de números de identificación sudafricanos en línea. Esta vez estamos hablando de 1 millón de sudafricanos cuyos datos personales se han filtrado en línea. La base de datos con esta información se ha encontrado en un servidor de acceso público. La empresa sudafricana que se encarga de los pagos electrónicos de multas de tránsito en el país puede ser responsable de esta, hasta ahora, la mayor fuga de datos en la historia de Sudáfrica.
Aplicación PumpUp Filtrando los Datos de 6 Millones de sus Usuarios
En mayo de 2018, un investigador de seguridad descubrió un servidor backend sin contraseña para protegerlo. Este servidor está conectado a la aplicación de fitness PumpUp y el servidor permite el acceso libre a la información de salud ingresada por los usuarios, así como las fotos y mensajes privados enviados entre los usuarios. En algunos casos, la información contenía datos de tarjetas de crédito sin cifrar: número de tarjeta, fechas de expiración y números de verificación de la tarjeta.
El investigador luego se puso en contacto con la empresa para informar sobre los hallazgos. La empresa cerró el acceso libre a su servidor backend.
Aún se desconoce cuánto tiempo estuvo el servidor sin protecciones y qué información pudo haber sido robada.
Actualizaciones de seguridad para bases de datos
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2017-15533https://nvd.nist.gov/vuln/detail/CVE-2017-18268
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-6617https://nvd.nist.gov/vuln/detail/CVE-2016-10556
PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2018-1115IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1449https://nvd.nist.gov/vuln/detail/CVE-2016-10577
https://nvd.nist.gov/vuln/detail/CVE-2018-1565
https://nvd.nist.gov/vuln/detail/CVE-2018-1544
https://nvd.nist.gov/vuln/detail/CVE-2018-1515
https://nvd.nist.gov/vuln/detail/CVE-2018-1488
https://nvd.nist.gov/vuln/detail/CVE-2018-1459
https://nvd.nist.gov/vuln/detail/CVE-2018-1452
https://nvd.nist.gov/vuln/detail/CVE-2018-1451
https://nvd.nist.gov/vuln/detail/CVE-2018-1450
MongoDB
https://nvd.nist.gov/vuln/detail/CVE-2016-10572Greenplum Database
https://nvd.nist.gov/vuln/detail/CVE-2018-1280MariaDB
https://nvd.nist.gov/vuln/detail/CVE-2016-10554https://nvd.nist.gov/vuln/detail/CVE-2016-10553
https://nvd.nist.gov/vuln/detail/CVE-2016-10550
https://nvd.nist.gov/vuln/detail/CVE-2016-10556