Misconfigurations - Capítulo 8: Un Azure Blob Mal configurado expuso más de 300.000 archivos de la Empresa Disal-Ambipar.

La empresa fue contactada a soporte, tras ello el Blob Azure esta cerrado

Sep 05, 2024

Image: Ambipar Enviroment, Somos líderes en servicios Ambientales a nivel Nacional y Latinoamericano

Si tienes una mala configuración que haz reportado pero no ha sido corregida, me puedes contactar por mis redes sociales: chum1ng0 o mi correo: 📧chum1ng0@tutanota.com.

Si quieres me puedes colaborar con un café:

☕https://buymeacoffee.com/chum1ng0

Incidente detalles:

Empresa: DISAL- AMBIPAR

Sector: Gestion Ambiental

fechas del incidente: Detectado en Agosto, 2024

Fecha de divulgación: 2024-27-08

País: Chile - Perú - Paraguay

Cantidad de archivos expuestos: 300.000

Mala configuración de: Blob Azure

Tipos de datos expuestos: registros de asistencias, investigación de accidentes, evaluación de riesgos, certificados, declaración de incidentes.

Fecha Cierre: 2024-28-08

La empresa Disal/Ambipar ubicada en Chile, Perú y Paraguay, según su sitio web, del sector de gestión ambiental, expuso un Blob Azure con una cantidad de 300.000 archivos. Entre esos archivos se identificaron 92.000 archivos PDF, 8.000 archivos XLSX. En los archivos PDF se encontraron documentos como registros de asistencias, investigaciones de accidentes, evaluaciones de riesgos, certificados y declaraciones de incidentes.

Image: El visor de archivos de la herramienta grayhatwarfare mostraba cuantos archivos exponía el blob azure.

Capítulo 8:

En el mes de agosto, encontré un Blob Azure expuesto con 300.000 archivos. Investigué a quién pertenecía y, tras dar con la empresa que lo exponía, divulgué responsablemente la situación a la empresa Disal-Ambipar vía correo electrónico el 28 de agosto. Tras ello, el acceso al Blob Azure fue cerrado.

No recibí ninguna respuesta de la empresa, tampoco pude verificar desde cuándo estuvo expuesto este Blob. Una auditoría forense interna daría más detalles de esta situación.

La empresa Disal fue adquirida por Ambipar, el grupo brasileño de gestión ambiental, en 2021. Opera en Chile, Perú y Paraguay. Aproximadamente tiene 25 sucursales en Chile y se dedica a varias industrias, como la minería, los eventos, la construcción y la agricultura.

Image: Muestra clientes de Ambipar, en su pagina web

El Blob Azure mostraba documentos que no tenían que estar públicos, por ejemplo, algunos documentos tenían RUT (DNI), nombre y dirección.

Image: Documento Interno, que no debía estar publico en un Blob Azure

Image: Registro de asistencia, otro documento interno que no deberia estar publico en un Blob Azure.

Otros documentos mostraban en sus títulos Declaración de incidente. Algunos registros mostraban nombres, RUT, cargo y descripciones del incidente de los trabajadores.

Image: Documentos internos desprotegidos desde un Blob Azure

Tomar consciencia, en los datos personales de los trabajadores, no puede quedar expuesto un Blob Azure con información interna de alguna empresa, invierte en ciberseguridad.

⚠️Advertencia⚠️: Estos datos podrían haber sido descargados por diversas terceras personas e incluso podrían haber sido revendidos en foros de hacking.

A mis lectores, suscriptores espero poder hacer un noveno capítulo de #misconfigurations pronto. Atentamente, chum1ng0.