El 3 de marzo de 2021, el investigador de seguridad Jeremiah Fowler y el equipo de investigación del sitio web Planet descubrieron una base de datos de Elasticsearch que no estaba protegida con contraseña y contenía casi 1 millón de registros. Los registros expuestos estaban etiquetados como "Producción" y contenían nombres de clientes, números de teléfono, direcciones físicas y más. Los registros de monitoreo y archivos expusieron muchos registros internos que no deberían haber sido accesibles públicamente.
En una gran cantidad de muestras de registros, OfficeDepot se menciona en muchos lugares. Inmediatamente enviamos una declaración responsable a OfficeDepot y la base de datos se aseguró en cuestión de horas. El 5 de marzo, recibimos una respuesta de un miembro del equipo de Operaciones de Seguridad de Office Depot Europa agradeciéndonos la notificación y creando conciencia sobre la violación de datos.
La filtración puede haber proporcionado a los ciberdelincuentes suficiente información para atacar a los clientes con ataques de ingeniería social o intentar acceder a esas cuentas.
Contenido contenido en la base de datos:
Número total de registros: 974050 Los tipos de índice público incluyen: monitoreo de kibana, métricas de Apm, latidos de archivos y registros de latidos. Hay muchas referencias a "Officedepot" en el conjunto de datos, como nombres de host, direcciones IP y rutas, lo que indica que el servidor les pertenece. Los datos expuestos incluyen inicios de sesión *SSH, paneles internos de empleados y registros de grupos de usuarios, así como registros de clientes europeos, en su mayoría alemanes. *(SSH admite conexiones seguras a servidores o máquinas remotas) Los registros están marcados como "Producción" y contienen información de identificación personal del cliente, como nombre, número de teléfono, dirección física (casa y/o oficina), @miembros. Dirección de eBay y contraseña hash. La infracción también expuso los registros del mercado y el historial de pedidos, exponiendo las compras y los costos anteriores de los clientes. La base de datos corre el riesgo de sufrir ransomware u otros ataques maliciosos. Proporcione middleware o cree información para proporcionar rutas secundarias a las vulnerabilidades. (El middleware conecta aplicaciones de software de terceros, y el middleware desactualizado o sin parches puede servir como puerta trasera a la red). Los registros más técnicos incluyen direcciones IP, puertos, rutas e información de almacenamiento, que los ciberdelincuentes pueden utilizar para penetrar más profundamente en la red. Implicaciones de privacidad
Cualquier filtración innecesaria de datos plantea riesgos potenciales para los clientes y las redes internas expuestas. Siempre existe la posibilidad de que los malos actores roben información y la utilicen con fines fraudulentos. Cualquier persona con conexión a Internet puede acceder a estos registros.
Nota: Nunca descargamos ni extraemos los datos que encontramos, solo tomamos algunas capturas de pantalla para su verificación. Redactamos cualquier información potencialmente confidencial para proteger la privacidad de nuestros usuarios o clientes.
Todos los registros que contienen PII se encuentran en la Unión Europea y muchos registros hacen referencia a Alemania. En la UE existen normas de protección de datos y sanciones económicas muy claras. El 25 de mayo de 2018, la Unión Europea aprobó el Reglamento General de Protección de Datos (GDPR). El cambio permite a los reguladores de protección de datos imponer fuertes multas e imponer estrictas pautas de presentación de informes. La multa máxima es de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, lo que sea mayor. Las exposiciones de datos en la UE deben informarse a las autoridades pertinentes en un plazo de 72 horas. Mejores prácticas y riesgos
Además de recomendar que cualquier servidor que tenga esté configurado correctamente para restringir el acceso a él, también recomendamos que todos los datos estén cifrados. Las empresas y organizaciones continúan recopilando y almacenando datos confidenciales en texto claro o utilizan algoritmos de cifrado obsoletos. Uno de los mayores errores es cifrar registros pero incluyendo la clave de cifrado en la misma base de datos. Esto permitirá que cualquiera tenga acceso completo a estos registros simplemente desbloqueando los datos.
La gestión de parches y las actualizaciones son fundamentales para gestionar las vulnerabilidades. El panorama de la seguridad cambia constantemente y garantizar que las aplicaciones y el middleware estén actualizados es una de las mejores formas de mitigar estos riesgos. Las versiones de software obsoletas pueden crear vulnerabilidades obsoletas.
Nunca subestimes el valor del monitoreo y el registro de errores.
El riesgo real de los archivos de registro es que pueden exponer pequeños fragmentos de datos que actúan simultáneamente como piezas de un rompecabezas para crear una imagen más amplia de la red. Esto puede incluir detalles sobre middleware que puede actuar como una segunda ruta hacia el malware, los sistemas operativos o incluso las cuentas de almacenamiento en la nube. Una vez que un cibercriminal o un hacker de un estado nación entiende cómo se configura y opera una red o infraestructura, es fácil lanzar un plan de ataque. No estamos sugiriendo que OfficeDepotEurope o sus clientes fueran el objetivo de este ataque, sino que destacamos el riesgo potencial de cómo se podría explotar esta exposición.
En este caso, había muchos registros internos que no deberían haber sido divulgados públicamente. Cuando se expone información de identificación personal (PII), se simplifica la capacidad de atacar a esas personas. Una vez que los ciberdelincuentes tienen esta información, pueden atacar directamente a clientes o empleados con referencia a información específica de la cuenta. Por ejemplo, digamos que un delincuente llama a un cliente y le confirma un pedido reciente. Luego, el delincuente dijo que hay un problema con su información de facturación. ¿Puede proporcionarme el número de tarjeta de crédito para su compra? El cliente no tiene motivos para dudar de esto porque la persona que llama puede verificar los detalles verdaderos que sólo el minorista conoce. Así funcionan los ataques de ingeniería social y es una de las formas de fraude más comunes en la actualidad. De las tiendas físicas al comercio electrónico
Office Depot Europe es el negocio europeo de la empresa estadounidense Office Depot Inc. En enero de 2017, Aurelius Group adquirió el negocio europeo de Office Depot. Con sede en Venlo, Países Bajos, Office Depot Europe opera en 13 países a través de sus dos marcas principales, Office Depot y Viking, con tiendas minoristas en Francia y Suecia. OfficeDepotEurope vende sus productos en línea directamente a pequeñas y medianas empresas y a particulares bajo la marca Viking.
Parece que muchos de estos registros están relacionados con la tienda eBay de OfficeDepot. Hay nombre del cliente, número de teléfono, dirección física, @miembros. eBay. cuenta com y contraseña hash. Esto incluye tipos de clientes como B2C (de empresa a cliente) o B2B (de empresa a empresa), números de clientes en línea y números de clientes de backend.
OfficeDepotEurope protege los datos y restringe el acceso público de forma rápida y profesional. No está claro cuánto tiempo estuvieron expuestos los datos ni quién más tuvo acceso a los registros. Según el motor de búsqueda BinaryEdgeIoT, el puerto expuesto se detectó por primera vez: 22/02/21, a las 10:31 a.m. Esto sugiere que es posible que la base de datos haya sido mal configurada para permitir el acceso público por hasta 10 días. Es un milagro que los datos no se hayan visto comprometidos por ransomware automatizado u otros scripts maliciosos dirigidos a bases de datos sin contraseña.