Misconfigurations - Capítulo 10: Un storage Google expone 600,000 datos de ciudadanos costarricenses.
Se ha contactado con la empresa privada de telecomunicaciones vía correo, pero nadie responde. El único que respondió fue el CSIRT-CR, pero dice que no tiene control sobre las empresas privadas.
Capítulo 10:
En el capitulo N°10 les traigo esta historia donde una entidad privada de telecomunicaciones expone datos de posibles clientes sin protección, aqui vamos:
Al identificar el storage Google expuesto con la información que contenía, desde este punto trato de proteger esos datos expuestos, aunque te tome horas, dias, semanas, meses, en cerrar o bloquear.
Envié un correo electrónico el día 21 de diciembre, donde les divulgaba responsablemente lo descrito a la entidad privada que tenía un almacenamiento expuesto con 600,000 archivos (donde me preocupé mucho debido a la gran cantidad de archivos) y les recalqué que deberían bloquearlo inmediatamente, dado que terceras personas podrían haber descargado este material.
Sin embargo, no recibí ninguna respuesta de estas personas ligadas a la entidad privada. Puede que no lean sus correos, que se vayan directamente al spam, o simplemente no quieran corregir sus errores, lo cual es muy grave, ya que ponen en peligro a los ciudadanos al exponerlos ya que pueden ser estafados o suplantar su identidad."
El 27 de enero, el único que ha respondido a mis correos es el CSIRT-CR, “Se procede con el reporte y las recomendaciones pertinentes a la institución, pero como es una empresa privada no ternemos control sobre ellas.” Sin embargo, como dice su respuesta, al ser una entidad privada no tienen control sobre ellas. Esto me deja mucho que pensar sobre la seguridad de los datos de los costarricenses.
Lo peor es que sigue estando abierto. Mi último contacto vía correo fue el 5 de febrero, cuando les envié el siguiente correo:
Vuelvo a enviar este correo a quien se encargue y sea responsable de dicho almacenamiento expuesto. Es gravísimo que esté ahí públicamente.
En resumen, nadie se hace cargo de dicho almacenamiento, aunque he enviado correos desde el 21 de diciembre. Tampoco encuentro ningún canal o correo para que un investigador de ciberseguridad pueda enviar sus reportes.
Incidente detalles:
Sector: Telecomunicaciones
fechas del incidente: Detectado en Diciembre, 2024
Fecha de divulgación: 2024-21-12
País: Costa Rica
Cantidad de archivos expuestos: 600.000
Mala configuración de: Storage Google
Tipos de datos expuestos: cédulas de identidad, pasaportes.
Fecha Cierre: ??
Datos
Los datos expuestos en este Storage Google, estaban divididos en diferentes formatos png, jpg y pdfs, me preocupé cuando vi la cantidad de archivos que tiene este storage 600,000.
Las cédulas de identidad y pasaportes son la mayor cantidad de archivos expuestos en este almacenamiento.
No pude identificar desde cuándo estuvo abierto este storage ni cuántas terceras personas pudieron descargar este material. Por supuesto, es necesario que la empresa realice una investigación forense.
Tenga en cuenta que esta información puede ser mal utilizada por terceros, ya que pueden hacer estafas, suplantar información de estas personas, o pueden revender la información en foros de hacking.
A mis lectores, suscriptores espero poder hacer un undécimo capítulo de #misconfigurations pronto, comparte, Atentamente, chum1ng0.
Si tienes una sugerencia, inquietud, pregunta o haz dado con algo desprotegido y quieres que lo reporte, me puedes contactar por mis redes sociales: chum1ng0 o mi correo:
📧chum1ng0@tutanota.com.
Si quieres me puedes colaborar con un café: