Noticias

Fallas de seguridad exponen documentos, datos personales y credenciales de funcionarios de la ONU

Ni siquiera una de las organizaciones políticas más importantes del mundo, la Organización de las Naciones Unidas, es inmune a las amenazas informáticas. Un investigador de seguridad ha informado que la organización estaba exponiendo información en Internet sin percatarse de ello.

El investigador de seguridad Kushagra Pathak dijo que había encontrado la información hace meses, pero que a pesar de las advertencias y peligros, la organización tardó en responder a la situación. “En agosto encontré 60 tableros de Trello, un archivo de Jira público y muchos documentos de Google Docs de las Naciones Unidas que contenían credenciales a múltiples servidores FTP, redes sociales y cuentas de correo, además de documentos internos”, explicó el investigador en un tweet.

“Información como vulnerabilidades expuestas y vulnerabilidades de seguridad, las credenciales de sus cuentas de redes sociales, cuentas de correo electrónico, servidores y paneles de administración están disponibles en tableros Trello públicos y se están añadiendo a los índices de los motores de búsqueda para que cualquiera pueda encontrarlos con facilidad”, escribió Pathak, que tiene una amplia experiencia investigando tableros de Trello.

Es decir, la desprotección de la información no sólo expuso documentos y proyectos que deberían haberse mantenido privados, sino que también puso a disposición del público las credenciales de acceso a diferentes cuentas de los funcionarios de las Naciones Unidas. “Algunos de los tableros contienen información que no es privada, otros contienen datos antiguos. Aun así, estamos revisando todos los tableros de la lista para garantizar de que no se compartan contraseñas ni credenciales por este medio”, afirmó Pathak.

Pero esto no es todo: por otra parte, el investigador Mohamed Baset de Seekurity también descubrió vulnerabilidades de seguridad en los sistemas de las Naciones Unidas, pero esta vez exponían miles de Currículum Vitae enviados por postulantes a puestos de trabajo en la organización. Los documentos son un repositorio de datos personales y de contacto que pueden usarse con facilidad para engañar a las víctimas en ataques de fraude e ingeniería social.

La vulnerabilidad se encontraba en uno de los sistemas del gestor de contenidos WordPress, que la organización utiliza para administrar las aplicaciones de trabajo. Baset afirmó que la vulnerabilidad es conocida y la exposición de estos datos se hubiese evitado teniendo actualizado el sistema WordPress.

Baset tomó la controvertida decisión de dar a conocer la vulnerabilidad esta semana, después de haber informado a las Naciones Unidas en agosto sobre el incidente sin obtener soluciones. Baset también publicó un video que demuestra la existencia y peligros de la vulnerabilidad.

El experto en seguridad y Director Ejecutivo de High-Tech Bridges, Ilia Kolochenko, atribuyó parte del problema al bajo presupuesto para la seguridad que tiene las Naciones Unidas, y explicó que compañías con muchos más recursos han pasado por problemas similares: “problemas de seguridad similares pueden encontrarse fácilmente en sitios web de muchas organizaciones y compañías con grandes recursos, que no necesariamente reaccionan mejor o más rápido cuando se descubre una vulnerabilidad. Por lo tanto, sin justificar la negligencia y falta de cuidado de la seguridad informática de la agencia, evito culpar a la ONU del problema”.

Fuentes
United Nations Data Breach Leaks Passwords and Other Data • The Mac Observer
United Nations accidentally exposed passwords and sensitive information to the whole Internet • The Intercept
United Nations data found exposed on web: researcher • SC Magazine

Fallas de seguridad exponen documentos, datos personales y credenciales de funcionarios de la ONU

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada