Muchas tiendas en línea exponen copias de seguridad privadas en carpetas públicas, incluidas las contraseñas de cuentas internas que pueden aprovecharse para hacerse cargo de los sitios de comercio electrónico y extorsionar a los propietarios.
Según un estudio realizado por la empresa de seguridad de sitios web Sansec, aproximadamente el 12% de las tiendas en línea olvidan sus copias de seguridad en carpetas públicas debido a errores humanos o negligencia.
El estudio examinó 2037 tiendas de varios tamaños y encontró que 250 (12,3%) expusieron archivos ZIP, SQL y TAR en carpetas web públicas a las que se puede acceder libremente sin necesidad de autenticación.
Los archivos parecen ser copias de seguridad que contienen contraseñas de bases de datos, URL de administradores secretos, claves API internas y PII (información de identificación personal) del cliente.
En el mismo informe, Sansec explica que sus analistas observan una actividad constante de los atacantes que lanzan escaneos automáticos que intentan identificar estas copias de seguridad y realizar infracciones.
“Los delincuentes en línea están buscando activamente estas copias de seguridad, ya que contienen contraseñas y otra información confidencial”, se lee en el informe de Sansec.
«Los secretos expuestos se han utilizado para obtener el control de las tiendas, extorsionar a los comerciantes e interceptar los pagos de los clientes».
Escanee los rincones de sus activos web que otras herramientas pasan por alto, con rastreo avanzado y nuestro enfoque de escaneo interactivo + dinámico (IAST + DAST) combinado.
Conocer..
Los actores de amenazas prueban varias combinaciones de posibles nombres de respaldo en los sitios de destino según el nombre del sitio y los datos públicos de DNS, como «/db/staging-SITENAME.zip».
Debido a que estas sondas son económicas de ejecutar y no afectan el rendimiento de la tienda de destino, los actores de amenazas pueden realizarlas durante semanas enteras hasta que encuentren una copia de seguridad.
Sansec informa haber visto varias direcciones IP de origen para estos ataques, por lo que los actores de amenazas son muy conscientes de la existencia de copias de seguridad expuestas y muchas de ellas intentan aprovecharlas.
Si las copias de seguridad expuestas contienen detalles del administrador, contraseñas de la base de datos maestra o cuentas del personal, los atacantes pueden usarlas para obtener acceso al sitio y robar datos o realizar ataques destructivos.
Sansec insta a los propietarios de sitios web a revisar periódicamente sus sitios en busca de datos y copias de seguridad expuestos accidentalmente.
Si ha expuesto públicamente una copia de seguridad de un sitio web, restablezca inmediatamente las cuentas de administrador y las contraseñas de la base de datos y habilite 2FA en todas las cuentas del personal.
Además, verifique los registros del servidor web para ver si la copia de seguridad fue descargada por un tercero y verifique los registros de actividad de la cuenta de administrador para identificar signos de acceso externo y comportamiento malicioso.
Sansec sugiere que los administradores del sitio web configuren el servidor web para restringir el acceso a los archivos de almacenamiento si no se necesitan en las operaciones diarias para evitar fugas de datos.
Fuente: bleepingcomputer
Si te ha gustado, ¡compártelo con tus amigos!
