CNET
Una base de datos no segura dejó expuesta a Internet la información confidencial de miles de aficionados peruanos al cine para que cualquiera pudiera verla, dijo el lunes 27 de enero un investigador de seguridad. La información incluía nombres completos, direcciones de correo electrónico, contraseñas sin cifrar, cierta información parcial de pago y números de identificación oficial de los amantes del cine que hicieron compras con Cineplanet.
La base de datos, a la que cualquier persona con la dirección IP correcta pudo acceder en un navegador Web, también expuso información sobre los miembros del programa de fidelidad de la compañía, incluido su estado civil. No hay indicios de que los cibercriminales hayan accedido a los datos, aunque eso no se puede descartar.
La base de datos, que estaba almacenada en un servidor en la nube, ya no está expuesta en línea. Fue bloqueada el jueves 23 de enero de 2020.
Cineplanet no respondió de inmediato a una solicitud de comentarios. La compañía enumera aproximadamente 40 cines en todo el país, según su sitio Web, de los cuales 23 están en Lima, la capital.
La exposición es apenas el último ejemplo de información personal confidencial que se filtra luego de estar guardada en la nube, un problema continuo que afecta la privacidad en todo el mundo. Las empresas están trasladando sus datos de clientes a servidores en la nube debido a la flexibilidad y al ahorro que ofrecen. Pero muchas organizaciones no tienen la experiencia suficiente para configurar esas bases de datos de forma segura. En el último año, las bases de datos han expuesto los registros de pacientes de los centros de rehabilitación de drogas, la información sobre millones de hogares de EE.UU. y hasta las expectativas salariales de quienes buscan trabajo.
El investigador que encontró la base de datos, Anurag Sen, publicó sus hallazgos el lunes con el sitio Web de revisión antivirus SafetyDetective y compartió su investigación con CNET. La base de datos parecía mantener solo registros durante un período de un mes, y alrededor de 1.5 millones de registros nuevos aparecían en el sitio Web cada día que Sen lo observaba.
Actualmente, la forma más sencilla de mantener seguras las bases de datos es con protección por contraseña. Sin embargo, muchas herramientas de software que administran bases de datos en la nube no habilitan la protección de contraseña por defecto. Incluso cuando la protección por contraseña es la configuración predeterminada, el personal de que configura las bases de datos a menudo la desactiva involuntariamente, según los investigadores.
¿Cuántas bases de datos expuestas sin protección por contraseña hay? “Más de las que puedes imaginar”, dijo Chris Vickery, un investigador que busca exposiciones a la base de datos y que no participó en la búsqueda de la base de datos Cineplanet.
La base de datos de Cineplanet expuso alrededor de 250,000 números de identificación nacional (DNI), dijo Sen, que son los números de 8 dígitos asociados al Documento Nacional de Identidad de Perú. Es una forma de identificación que se usa para votar, viajar y tener acceso a servicios gubernamentales en ese país.
Resulta más difícil medir cuántas contraseñas y otras piezas únicas de información estaban expuestas entre los millones de registros. Los datos serían valiosos para los piratas informáticos que podrían intentar usar las contraseñas expuestas para iniciar sesión en cuentas más sensibles, como el correo electrónico o las cuentas bancarias. Debido a que muchos usuarios de Internet reutilizan sus contraseñas, este tipo de ataques pueden ser muy lucrativos para los piratas informáticos.
También podría ser valioso para los ladrones de identidad, especialmente detalles como el estado civil y la información parcial de pago. Aunque actualmente no hay indicios de que los piratas informáticos hayan abusado de los datos de Cineplanet, los expertos en robo de identidad dicen que tratar las exposiciones a la base de datos tan en serio como si un pirata informático hubiera salido y robado tu información. Eso significa vigilar tus tarjetas de pago para detectar transacciones fraudulentas y tener en cuenta que los estafadores pueden usar tu información personal en ataques de phishing.
