Las empresas de enriquecimiento de datos son un negocio importante hoy en día. Combinan los datos que posee una empresa con datos de terceros para que la empresa pueda tomar decisiones más informadas. Los datos enriquecidos proporcionan una visión más profunda acerca de los clientes de la empresa, con lo cual, es posible ajustar su modelo de negocio para que se adapte mejor a las necesidades de sus clientes actuales o futuros.
Para que los datos sean relevantes, cuánta más información mejor; por eso, las empresas de enriquecimiento de datos tienen que manejar bases de datos que contienen docenas de millones de archivos. Esta información puede incluir datos como direcciones de correo, el número de niños en una casa, el valor de la casa, los hábitos de compra… Una información personal que no tendría precio para el cibercriminal que quiera sacar beneficio con ellos, y que hay que proteger para que no lleguen al mercado negro.
Los datos filtrados de más de mil millones de personas
Los peligros del enriquecimiento de datos fueron puestos de relieve a mediados de octubre cuando se descubrió que los datos personales de 1,2 mil millones de personas estaban expuestos online. Bob Diachenko y Vinny Troia descubrieron un servidor Elasticsearch que contenía unos 4 mil millones de cuentas de usuario—unos 4TB de datos en total, en cuatro conjuntos de datos.
Se cree que estos datos pertenecen a dos empresas de enriquecimiento de datos. Tres de los conjuntos de datos estaban etiquetados con el nombre de una empresa de este tipo llamado “People Data Labs”, mientras el tercer conjunto tiene la etiqueta “OXY”, que los investigadores de seguridad creen que podría ser Oxydata, otra empresa dedicada a esta actividad.
Explica Vinny Troia, responsable inteligencia de amenazas en Data Viper: “Un total de 1,2 mil millones personas únicas en todos los conjuntos de datos, lo cual significa que ésta es una de las mayores brechas de datos de una única organización de la historia. Los datos filtrados incluyen nombres, direcciones de correo electrónico, números de teléfono, información de perfiles de LinkedIn y Facebook.”
El servidor Elasticsearch que contenían estos datos no requería ni una contraseña ni ninguna otra medida de seguridad para poder accederlos. Sin embargo, no está claro quién es el responsable de que hayan acabado expuestos en este servidor.
Servidores Elasticsearch y los datos personales
Ésta no es la única brecha de datos que hemos visto en los últimos meses ha implicado un servidor Elasticsearch. A principios de noviembre, se descubrió que los datos de clientes de una plataforma de reservas de hotel, Gekko Group, habían sido expuestos en un servidor Elasticsearch inseguro.
Investigadores de seguridad descubrieron una base de datos de más de 1TB en el servidor en cuestión, en formato no cifrado. Gekko Group tiene una lista de clientes de unos 600.000 hoteles en todo el mundo. Los datos expuestos incluían nombres, direcciones y facturas que contenían datos de pago sin cifrar.
Los peligros de los datos filtrados
Aunque una brecha de datos no contenga datos de pago, puede suponer un peligro grave para las personas cuyos datos se filtran. La razón principal es la posibilidad de ver estos datos utilizados en suplantación de identidad. Esta suplantación puede ser el primer paso en ciberamenazas como el spear phishing.
Para la empresa víctima de una brecha de datos, puede haber consecuencias muy graves también. Bajo el GDPR, si las empresas responsables de esta brecha manejan los datos personales de ciudadanos europeos, podrían tener que enfrentarse a una multa de hasta el 4% de sus ingresos anuales o de 20 millones de euros.
Cómo proteger los datos personales
La mejor manera de asegurarte de que los datos personales que maneja tu empresa están a buen recaudo, es tener un control exhaustivo sobre ellos para que sepas dónde están en todo momento. Panda Data Control es un módulo adicional de Panda Adaptive Defense específicamente creado para evitar el acceso, modificación o exfiltración de los datos que almacena tu empresa. Audita y descubre todos los datos de carácter personal (PII) desestructurados en todos los endpoints. De este modo, sabrás no sólo qué datos tienes y dónde los tienes, sino que también si alguien accede a ellos o intenta modificarlos.
Esta brecha de datos ha sido una de las más masivas de la historia, pero no será la última. Asegúrate de que tu empresa no sea la siguiente en sufrir una brecha de datos masiva con Panda Data Control.