Exponer información sensible a internet es un tema delicado, principalmente cuando los motores de búsqueda como Google pueden estar en contra tuya gracias a las malas prácticas o malas configuraciones implementadas en los sistemas.

Así como durante Abril del 2016 la lista de 93 millones de votantes mexicanos estaba expuesta públicamente en servidores de Amazon, esta vez uno de los sistemas internos de la Comisión Nacional Bancaria y de Valores exponía registros de 1,700 usuarios mexicanos, extranjeros, internos, externos, de entidades bancarias, instituciones educativas, entre otros.

Estos registros contenían: Nombre del usuario, correo electrónico, teléfono, país, actividad principal del usuario (puesto laboral del usuario), sector, fecha de creación, fecha de registro, fecha de reactivación y dirección IP.

¿Cómo identificamos esto?

Mientras realizábamos un monitoreo en internet (OSINT) para uno de nuestros clientes, el primer resultado en Google nos mostró un correo con el dominio que estamos analizando en una URL de la CNBV.

El problema no radicaba en que la información estuviera expuesta, sino que Google ya la había indexado en su caché.

Al ingresar a la URL, notamos que la base de datos contenía campos con información sensible de 1,710 usuarios, con la que cualquier persona que haya tenido acceso al portal anteriormente, pudiera utilizar esa información para realizar ataques muy convincentes de ingeniería social hacia los usuarios expuestos.

Sin embargo no solo la base de datos estaba expuesta, sino que el contenido del sitio como imágenes, logs, reportes, etc eran accesibles y podían ser descargados sin que los administradores lo noten.

Como parte de nuestras políticas de “Notificación responsable” y nuestro compromiso en mantener el Internet en un lugar seguro, contactamos al personal encargado de la seguridad informática dentro de la CNBV, no recibimos ninguna respuesta de ambos encargados, sin embargo tan solo unos días después las URLs ya no eran accesibles y solicitaban Usuario/Contraseña para acceder a la información.

¡Espero hayan disfrutado del post!

¡Su atención por favor!
¿Estás construyendo un sitio web? ¿Ya tienes uno? ¿Te preocupa la seguridad de tu compañía? ¡Piénsalo dos veces antes de lanzarlo públicamente y déjanos proteger tu negocio!