Dirigido por Noam Rotem y Ran Locar, el equipo de investigación de vpnMentor ha encontrado una violación de datos en la plataforma de correo electrónico utilizada por una empresa surcoreana, DKLOK.
DKLOK es un fabricante industrial de tuberías, válvulas y accesorios con clientes en todo el mundo. La vulnerabilidad encontrada en la base de datos de su plataforma de correo electrónico le dio a el equipo de VPNMentor acceso a sus comunicaciones internas y externas. El equipo pudo ver las comunicaciones por correo electrónico entre el personal de DKLOK, así como con sus clientes, y algunos correos electrónicos personales.
Muchos de los correos electrónicos se marcaron como privados y confidenciales, revelando información altamente confidencial sobre las operaciones, los productos y las relaciones con los clientes de DKLOK.
La violación afectó a las sucursales de DKLOK en varios países y a sus clientes internacionales.
VPN Mentor hizo varios intentos de contactar a DKLOK pero aún no han recibido su respuesta. Como las comunicaciones de DKLOK se filtran, pudieron ver registros de los propios correos electrónicos de los investigadores a la empresa, por lo que sabemos que han recibido los correos de intentos de contactarlos. La parte más absurda es que no solo sabemos que recibieron un correo electrónico de uno de los periodistas con los que trabaja VPNMentor, alertándolos sobre la filtración en este informe, sino que sabemos que lo tiraron a la basura.
Ejemplo de entradas en la base de datos
La información que el equipo pudo ver en correos electrónicos privados entre los empleados de DKLOK y sus clientes incluía lo siguiente:
- Precios de productos y cotizaciones
- Ofertas de proyectos
- Arreglos de viaje
- Conversaciones privadas
- Discusiones sobre proveedores, clientes, proyectos, operaciones internas.
Estos involucran numerosas oficinas internacionales de DKLOK y clientes de todo el mundo. En la investigación, se vio la comunicación relacionada con las operaciones de DKLOK en los siguientes países:
- Irán
- Alemania
- Australia
- Israel
- Rusia
- Corea del Sur
- Estados Unidos
- Francia
- Turquía
- Nueva Zelanda
- Italia
- Canadá
- Egipto
- Portugal
- Jordán
- Sudáfrica
- Brasil
Esta lista está incompleta, y la cuenta final probablemente sea mucho más larga.
Además del contenido de los correos electrónicos, la playa en la base de datos de correo electrónico de DKLOK daba acceso a los datos personales de sus empleados y clientes. Esto incluyó:
- Nombres completos de empleados y clientes.
- Direcciones de correo electrónico internas de varias sucursales internacionales de DKLOK
- ID de empleado / usuario
- Direcciones de correo electrónico externas / del cliente, nombres completos, números de teléfono
- Correos electrónicos personales recibidos en direcciones de correo electrónico de trabajo (pedidos de Alibaba, boletines informativos, hoteles Starwood, correo no deseado / basura para viagra y productos para el crecimiento del cabello)
Esta filtración no solo compromete la seguridad y la privacidad de DKLOK, sino también sus clientes. Las discusiones confidenciales de naturaleza altamente sensible se han hecho públicas en esta filtración. Dan una gran cantidad de información sobre los negocios de DKLOK en todo el mundo y comprometen la privacidad de los clientes de DKLOK.
Impacto de violación de datos
Esta violación de datos tiene muchas implicaciones negativas para DKLOK. Lo más obvio es el daño a la reputación causado a la empresa. Además de los correos electrónicos internos encontrados en la filtración, los clientes de DKLOK no estarán felices de saber que sus correos electrónicos también se pueden ver.
La privacidad y la seguridad en Internet son dos de las mayores preocupaciones para las empresas en el siglo XXI. Los ejecutivos de las compañías en la lista de clientes de DKLOK estarán comprensiblemente preocupados de que sus comunicaciones privadas se hayan hecho públicas, junto con información confidencial sobre sus respectivos negocios.
Los datos filtrados en esta violación también podrían ser utilizados por delincuentes, piratas informáticos maliciosos y competidores deshonestos de DKLOK en muchos esquemas ilegales.
Una vez robados, los datos podrían venderse a los competidores y usarse para socavar DKLOK. La misma táctica también se puede utilizar para apuntar a sus clientes.
Los piratas informáticos pueden utilizar el conocimiento adquirido al leer estos correos electrónicos para su uso en futuros fraudes corporativos. En cualquier delito cibernético, la información es crucial. Cuanta más información privada pueda recopilar sobre una empresa, mejor podrá identificarlos por fraude o ataques maliciosos.
Esta violación de datos le da a los ciberdelincuentes una base sólida sobre la cual comenzar a construir un perfil de DKLOK para uso criminal futuro.
Finalmente, con acceso a los datos personales y correos electrónicos privados de los empleados de DKLOK, los piratas informáticos pueden atacar a individuos para ataques como campañas de phishing.
Una campaña de phishing implica la creación de correos electrónicos de imitación de empresas y organizaciones legítimas, para engañar a las víctimas para que proporcionen información privada que se pueda usar para robarles o plantar malware dentro de su red.
La violación ofrece a los piratas informáticos muchas opciones para elaborar correos electrónicos de phishing efectivos para dirigirse a los empleados de DKLOK.
Un riesgo mayor es incrustar un enlace en un correo electrónico que planta malware o ransomware en la red DKLOK. Esto podría tener enormes implicaciones de seguridad para DKLOK y sus clientes.
Consejos de los expertos
Esta fuga de datos podría haberse evitado fácilmente si DKLOK y la plataforma de correo electrónico que utiliza hubieran tomado algunas medidas de seguridad básicas. Estas pueden ser replicadas por cualquier compañía, sin importar su tamaño:
Asegure sus servidores.
- Implementar reglas de acceso adecuadas.
- Nunca deje un sistema que no requiera autenticación abierta a Internet.
- Para obtener una guía más detallada sobre cómo proteger su negocio, consulte cómo proteger su sitio web y su base de datos en línea de los piratas informáticos.
Cómo y por qué se descubrió la violación
El equipo de investigación de vpnMentor descubrió que las bases de datos de correo electrónico de DKLOK estaban desprotegidas y sin cifrar como parte de un gran proyecto de mapeo web. Los hackers de VPNMentor usan el escaneo de puertos para examinar bloques de IP particulares y probar agujeros abiertos en los sistemas en busca de debilidades. Examinan cada agujero en busca de datos filtrados.
Cuando encuentran una violación de datos, utilizan técnicas expertas para verificar la identidad de la base de datos. Luego alertan a la empresa sobre la violación. Si es posible, también alertarán a los afectados por el incumplimiento.
El equipo pudo acceder a esta base de datos a través de una vulnerabilidad en un sistema periférico vinculado a su servicio de alojamiento de correo electrónico, que ha dejado toda su base de datos de correo electrónico sin seguridad y sin cifrar.
La compañía utiliza una base de datos Elasticsearch, que normalmente no está diseñada para el uso de URL. Sin embargo, pudimos acceder a través del navegador y manipular los criterios de búsqueda de URL para exponer esquemas de un solo índice en cualquier momento.
El propósito de este proyecto de mapeo web es ayudar a que Internet sea más seguro para todos los usuarios.
Como piratas informáticos éticos, estamos obligados a informar a una empresa cuando descubramos fallas en su seguridad en línea. Esto es especialmente cierto cuando la violación de datos de la compañía afecta a terceros en todo el mundo. En este caso, los clientes y socios internacionales de DKLOK.
Sin embargo, esta ética también significa que tenemos una responsabilidad con el público. Los clientes de DKLOK y los clientes deben ser conscientes de una violación de datos que también les afecta.
Fuente: https://www.vpnmentor.com/blog/report-dklok-leak/
