¿Qué sucedió?
Después de una investigación realizada por la oficina del Fiscal General Schneiderman se determinó que “Acer Service Corporation”, no protegió de manera adecuada la información de datos de tarjetas de crédito de más de 35.000 clientes.
La brecha fue detectada por un análisis realizado por Discover a cientos de tarjetas fraudulentas, y se determinó que el último sitio donde todas estas habían hecho una transacción legal fue en el sitio web de Acer.
La investigación subsecuente determinó que al menos un atacante fue capaz de explotar vulnerabilidades del sitio de comercio electrónico.
¿Por qué sucedió?
La investigación determinó que el sitio web pasó por diferentes momentos de configuraciones erróneas que permitieron ampliar la superficie de ataque y abrieron las posibilidades de que el o los atacantes pudieran sacar provecho de estas.
Por ejemplo: entre jul 4 de 2015 y abril 28 de 2016 se dejó habilitado el modo de depuración en la aplicación de comercio electrónico, este modo dejó toda la información que paso por la aplicación guardada en archivos de texto plano fácilmente accesibles, esta información incluía nombre completo, número de la tarjeta de crédito, fecha de expiración, código de verificación, usuario, contraseña, correo electrónico, dirección, ciudad, estado y código postal.
Adicionalmente a esto, la configuración del servidor permitió indexación de directorios para usuarios no autorizados.
Como resultado de este conjunto de errores de configuración se permitió el acceso a archivos no autorizados al atacante con un simple navegador.
¿Cómo se hubiera podido detectar/evitar este ataque?
- Haciendo una separación de los ambientes de tarjetahabiente: Todas las labores de desarrollo (incluyendo depuración) se deben realizar en ambientes de controlados de desarrollo. En caso de requerir casos especiales en ambientes productivos se deberán activar controles adicionales, limitar los accesos, monitorear la actividad y eliminar cualquier archivo que contenga información sensible.
- Haciendo configuraciones seguras de las aplicaciones y los equipos: Todas las aplicaciones, equipos y dispositivos que son parte del ambiente de tarjetahabiente, deben estar configurados de manera segura y no deben permitir que un usuario con bajos privilegios pueda tener acceso a información para la que no ha sido previamente autorizado.
- Monitoreando los archivos de configuración de las aplicaciones y los sistemas: Todos los servidores o estaciones de trabajo que sean parte del ambiente de tarjetas, deben tener un monitoreo de todos los archivos críticos, entre estos tenemos los directorios, ejecutables, librerías, archivos de configuración y páginas web del sistema operativo, marcos de trabajo, motores de bases de datos, aplicaciones y cualquier componente que haya sido modificado para mantener un estado de configuración segura.
- Cualquier cambio en estos archivos debe levantar alarmas.
- Centralización o monitoreo de logs: todos los registros de actividad que se generen deben llevarse a una plataforma o punto centralizado diferente del dispositivo donde se producen, el tiempo en que deben llevarse a esta plataforma debe ser muy corto.
- Diariamente se debe hacer una revisión de estos logs en búsqueda de actividades ilícitas o no autorizadas.
- Formación y concientización en seguridad: Se debe dar formación y concienciación a todos los usuarios sobre las buenas prácticas del uso de los diferentes medios de comunicación electrónicos y prácticas de seguridad.
- Los desarrolladores de aplicaciones deberán recibir formación periódica en prácticas de desarrollo seguras.
- Los administradores de plataforma deberán tener formación en la aplicación de los diferentes controles de seguridad y aplicar de manera consistente las guías de configuración de servidores y aplicaciones.
https://ag.ny.gov/press-release/ag-schneiderman-announces-settlement-computer-manufacturer-after-data-breach-exposed
Autor: Javier Roberto Amaya Madrid - ISO 27001 LA, PCI QSA, PCIP
Departamento de Consultoría
