DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Digest de Seguridad de Base de Datos – Mayo 2018

Por favor, eche un vistazo a las noticias de seguridad de bases de datos en mayo de 2018.

Importante Avance en la Protección de Datos Personales – Introducción del GDPR

El Reglamento General de Protección de Datos fue introducido el 25 de mayo de 2018 en la Unión Europea. En los últimos años se han producido brechas de datos masivas que han afectado a cientos de millones de personas. Por lo tanto, no es de extrañar que los legisladores estén haciendo más estrictos los requisitos de protección de datos e introduciendo nuevas regulaciones y requisitos.

La mayoría de las empresas multinacionales y, por supuesto, las empresas en la UE deben cumplir con el GDPR antes de finales de mayo de 2018. Pero digamos que eres una empresa con sede en EE. UU. sin operaciones directas en la UE. ¿Se aplicará este reglamento a ti? Piénsalo de nuevo si tu respuesta es “no”. El significado de “datos personales” bajo el GDPR abarca más de lo que entendemos en EE. UU. Cosas como nombres, identificaciones, información de ubicación, etc. se consideran “información personal”. La “información personal” incluye incluso direcciones IP, strings de cookies, publicaciones en redes sociales, contratos en línea e identificaciones de dispositivos móviles.

Ahora podrías estar pensando que Europa está muy lejos, y que no tienes operaciones directas allí, ¿verdad? Bien, si eres una empresa estadounidense con una presencia en Internet y vendes o envías productos a un país de la UE o simplemente aceptas dinero europeo por tus productos o servicios, el GDPR se aplicará a tu empresa.

Ahora sobre el no cumplimiento del GDPR. El precio es alto. Por no cumplir, la multa puede llegar hasta el 4% de la facturación anual global de la empresa del ejercicio financiero anterior o 20 millones de Euros (lo que sea mayor) y 2% o €10 millones de Euros (lo que sea mayor) por infracciones de menor importancia. Por ejemplo, si una empresa no informa de una brecha a un regulador de datos dentro de las 72 horas (lo cual es requerido por el Artículo 33 del GDPR) podría pagar una multa del 2% de sus ingresos globales o 10 millones de Euros (lo que sea mayor).

DataSunrise hace que el proceso de cumplimiento del GDPR, que a veces es un proceso desalentador para las empresas, sea cuestión de unos pocos clics del ratón.

Fuga de datos en Sudáfrica

El cibercrimen no conoce fronteras. Utilizando Internet, los ciberdelincuentes pueden hackear casi cualquier base de datos, incluso la protegida, si la seguridad de la base de datos es débil.

Las autoridades sudafricanas han sido advertidas muchas veces de que su país podría ser el próximo objetivo de los ciberataques. Entre las próximas posibles víctimas del cibercrimen están India y países de América Latina.

Esta fuga de datos sigue a otra que ocurrió hace menos de un año, resultando en la publicación de alrededor de 60 millones de números de identificación sudafricanos en línea. Esta vez estamos hablando de 1 millón de sudafricanos cuyos datos personales se han filtrado en línea. La base de datos con esta información se ha encontrado en un servidor de acceso público. La empresa sudafricana que se encarga de los pagos electrónicos de multas de tránsito en el país puede ser responsable de esta, hasta ahora, la mayor fuga de datos en la historia de Sudáfrica.

Aplicación PumpUp Filtrando los Datos de 6 Millones de sus Usuarios

En mayo de 2018, un investigador de seguridad descubrió un servidor backend sin contraseña para protegerlo. Este servidor está conectado a la aplicación de fitness PumpUp y el servidor permite el acceso libre a la información de salud ingresada por los usuarios, así como las fotos y mensajes privados enviados entre los usuarios. En algunos casos, la información contenía datos de tarjetas de crédito sin cifrar: número de tarjeta, fechas de expiración y números de verificación de la tarjeta.

El investigador luego se puso en contacto con la empresa para informar sobre los hallazgos. La empresa cerró el acceso libre a su servidor backend.

Aún se desconoce cuánto tiempo estuvo el servidor sin protecciones y qué información pudo haber sido robada.

Actualizaciones de seguridad para bases de datos

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2017-15533
https://nvd.nist.gov/vuln/detail/CVE-2017-18268

MS SQL Server

https://nvd.nist.gov/vuln/detail/CVE-2018-6617
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

PostgreSQL

https://nvd.nist.gov/vuln/detail/CVE-2018-1115

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1449
https://nvd.nist.gov/vuln/detail/CVE-2016-10577
https://nvd.nist.gov/vuln/detail/CVE-2018-1565
https://nvd.nist.gov/vuln/detail/CVE-2018-1544
https://nvd.nist.gov/vuln/detail/CVE-2018-1515
https://nvd.nist.gov/vuln/detail/CVE-2018-1488
https://nvd.nist.gov/vuln/detail/CVE-2018-1459
https://nvd.nist.gov/vuln/detail/CVE-2018-1452
https://nvd.nist.gov/vuln/detail/CVE-2018-1451
https://nvd.nist.gov/vuln/detail/CVE-2018-1450

MongoDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10572

Greenplum Database

https://nvd.nist.gov/vuln/detail/CVE-2018-1280

MariaDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10554
https://nvd.nist.gov/vuln/detail/CVE-2016-10553
https://nvd.nist.gov/vuln/detail/CVE-2016-10550
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

Siguiente

Digest de Seguridad de Bases de Datos – Junio 2018

Digest de Seguridad de Bases de Datos – Junio 2018

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]