Insólita filtración de datos de Mercedes-Benz expuso datos sensibles de sus clientes
¡Ah!, El lujo de los autos Mercedes-Benz: la tapicería de alta gama, alfombras de felpa, molduras de madera pulida, iluminación ambiental LED. “Incluso el olor indica que este vehículo es especial”, como pregona el fabricante de automóviles.
Por supuesto, incluso una empresa como Mercedes-Benz puede filtrar inadvertidamente los datos de sus lujosos clientes. Eso es lo que admitió el fabricante de automóviles el jueves pasado. Ese día Mercedes-Benz USA reveló que uno de sus proveedores había filtrado información de los clientes de su sistema de almacenamiento en la nube.
Una filtración lenta de datos
La situación es confusa, pero una cosa parece segura: esta filtración se prolongó, ya que los datos estuvieron expuestos durante más de tres años. La compañía, que es la subsidiaria estadounidense de la marca automotriz alemana Daimler AG admitió el incidente. Los afectados son los clientes y compradores interesados que ingresaron su información en los sitios web de concesionarios y Mercedes-Benz entre el 1 de enero de 2014 y el 19 de junio de 2017. La empresa le dio crédito a un investigador de seguridad externo anónimo por informarle de la filtración.
Un portavoz de Mercedes-Benz dijo que su proveedor confirmó sus hallazgos el 11 de junio de 2021. La compañía se negó a explicar varias preguntas que muchos nos estamos haciendo. Por ejemplo, ¿Por qué tardó cuatro años en revelarse el incidente? ¿Qué sucedió en 2017 para que se ocultara la fuga? ¿Qué provocó el eventual descubrimiento? El portavoz reiteró que el proveedor confirmó que el problema se corrigió y que “tal evento no se repetirá”.
Continuaremos nuestra investigación para asegurarnos de que esta situación se aborde adecuadamente y no comentaremos más con respecto a nuestros protocolos internos.
Portavoz de Mercedes-Benz.
Tom Garrubba, jefe de ciberseguridad de Shared Assessments, dijo que él ve la situación en dos partes. Primero, la falta de seguridad adecuada alrededor de los contenedores de datos en el proveedor de servicios en la nube. En segundo lugar, la falta de la debida diligencia por parte de Mercedes-Benz. La empresa debió hacer preguntas y actuar diligentemente para comprender cómo estaban protegiendo sus datos (red, sistemas, etc.).
Lo “bueno” y lo malo
La buena noticia es que, al menos hasta ahora, no hay evidencia de que los sistemas del fabricante de automóviles hayan sido manipulados. Tampoco hay evidencia de que los registros de los clientes se hayan utilizado indebidamente, según el aviso: “Ningún sistema Mercedes-Benz se vio comprometido como resultado de este incidente. Y, en este momento, no tenemos evidencia de que ningún archivo de Mercedes-Benz haya sido usado de manera maliciosa”.
La mala noticia es que, por el motivo que sea, el proveedor aparentemente recopilaba datos muy privados. Por ejemplo, números de seguro social, fechas de nacimiento y otra información muy sensible de los clientes. Mercedes-Benz dijo que los datos pertenecientes a menos de 1,000 clientes de Mercedes-Benz y compradores interesados fueron expuestos inadvertidamente. La empresa también afirmó que el conjunto de datos consistía “principalmente en calificaciones crediticias autoreportadas“.
Otros datos filtrados
Sin embargo, según Mercedes-Benz hay “una cantidad muy pequeña” de registros filtrados que incluyen:
- Números de licencia de conducir
- Números de seguro social
- Información de tarjeta de crédito
- Fechas de nacimiento
El portavoz de Mercedes-Benz dijo que los datos están asociados con un proveedor externo. Este proveedor administra las ventas digitales y las actividades de marketing para los clientes y compradores interesados de Mercedes-Benz.
La exposición de datos confidenciales como los números de seguridad social y los números de licencia de conducir es grave. Esto puede permitir a los actores malintencionados obtener préstamos, interceptar reembolsos de impuestos o abrir nuevas cuentas bancarias haciéndose pasar por la víctima.
Para proteger adecuadamente los datos de los clientes, “las empresas deben tener una visibilidad y un control completo sobre todos los datos en el ecosistema informático. Esto incluye los datos almacenados en la nube.
Mercedes-Benz señaló que, para ver la información, alguien necesitaría “conocimiento de herramientas y programas de software especiales“. Según la empresa porque “una búsqueda en Internet no mostraría ninguna información contenida en estos archivos”.
Obviamente, Mercedes-Benz no dio una lista de los programas y herramientas que un actor de amenazas necesitaría para desentrañar los archivos de su proveedor. Empero, eso es un consuelo frío: los actores de amenazas sofisticados son expertos en usar lo que sea necesario para acceder a archivos lucrativos. Después de todo, “sofisticado” es un término que está cada vez más vinculado a los ciberdelincuentes. Por ejemplo, ciberdelincuentes que utilizan ransomware, utilizan estafas con temática pandémica o mejoran sus tácticas de compromiso de correo electrónico empresarial (BEC).
La esperanza
El argumento de las “herramientas especiales” es realmente un consuelo a medias. No obstante, hay una buena posibilidad de que nadie, al menos nadie con conocimientos sofisticados de hacking haya encontrado estos registros.
Los ciberdelincuentes ciertamente conocen estas herramientas, pero todo se reduce a si algún atacante estaría al tanto de dicha vulnerabilidad y de este proveedor de servicios en la nube en particular. El atacante tendría que estar familiarizado con la red del proveedor y saber dónde buscar para encontrar el contenedor que contenía los datos de Mercedes-Benz.
Tal vez Mercedes-Benz no esté dispuesta a dar listas de herramientas, pero a los expertos en seguridad no les importa. Anurag Gurtu, CPO de StrikeReady, sugirió algunos “programas y herramientas de software especiales” que podrían usarse para acceder a dispositivos NAS.
Por ejemplo, FileZilla, Classic FTP, Cyberduck, FireFTP, WinSCP y otros programas que admiten el Protocolo de transferencia de archivos (FTP) y el Protocolo de SFTP. Asimismo, el Control de versiones distribuido y basado en la web (WebDAV) se pueden utilizar para acceder a los dispositivos NAS.
Un sistema de creación y control de versiones distribuido basado en la web es un método alternativo para el acceso remoto. Este permite acceder a los datos, copiarlos y editarlos de forma remota utilizando WebDAV, una extensión de HTTPS.
En pocas palabras, las herramientas para capturar datos NAS no tienen que ser sofisticadas. Erich Kron, de KnowBe4 dijo que son herramientas comunes como WinRAR, WinZip o herramientas equivalentes para otras plataformas. “Sería técnicamente cierto que los datos no serían visibles desde una ‘búsqueda en Internet’”, señaló.
La investigación
Mercedes-Benz inició una investigación para evaluar la accesibilidad de alrededor de 1.6 millones de registros únicos, la “gran mayoría” de los cuales incluye información sensible. Por ejemplo, el nombre, la dirección, los correos electrónicos, los números de teléfono y cierta información del vehículo comprado.
La compañía ya ha comenzado a contactar a las menos de 1,000 personas cuya información personal adicional se hizo pública. La empresa ofreció dos años de monitoreo crediticio gratuito a aquellos cuya información como tarjeta de crédito, número de licencia de conducir o número de seguro social fueron filtrados.
A algunos expertos en seguridad les preocupa un poco la afirmación de que “menos de 1000 registros” fueron expuestos. James McQuiggan de KnowBe4, señaló que “para una base de datos expuesta tanto tiempo, es preocupante que solo se hayan filtrado menos de mil registros.
Los expertos aseguran que los ciberdelincuentes considerarán estos datos con un valor más alto. Esto porque la mayoría de los clientes de Mercedes-Benz son personas que tienen una posición financiera sólida, posiblemente más que la víctima típica. Esta posición solo puede aumentar el valor de los datos a la venta en la Dark Web.
Los ciberdelincuentes pueden esperar extorsionar a las víctimas aprovechando la información robada y la eliminarán si se les paga. Además, pueden crear correos electrónicos muy específicos para engañar a las víctimas y acceder a sus sistemas o datos para una mayor explotación.
El espeso smog del almacenamiento en la nube mal configurado
Desafortunadamente, la configuración del almacenamiento en la nube es una falla recurrente en la era actual. En marzo, el minorista de arte y manualidades Hobby Lobby expuso en internet 138 GB de información confidencial. El incidente ocurrió gracias a una configuración incorrecta del bucket de la nube.
Las configuraciones incorrectas de la nube son un vector de amenaza común para organizaciones de todos los tamaños. Por ejemplo, una investigación de hace unos meses descubrió que el 6% de todos los buckets de Google Cloud están mal configurados. Es decir, están expuestos en internet para que cualquiera pueda revisar su contenido.
Es común que las empresas pasen por alto los problemas de seguridad que dejan los datos expuestos durante largos períodos de tiempo. Tal como ocurrió en el caso del incidente de Mercedes-Benz. En este caso, la información de identificación personal (PII) de los clientes estuvo expuesta y posiblemente accesible por los ciberdelincuentes durante más de tres años.
Hay algo muy claro y es que las organizaciones que son responsables de la PII altamente sensible, “no deben tener margen de error.”
Según los expertos, las empresas deben aprovechar plataformas de ciberseguridad robustas y multifacéticas que incluyan gestión de seguridad en la nube, prevención de pérdida de datos, autenticación multifactor y análisis de comportamiento de usuarios y entidades.
Es decir, con una solución integral que monitoree de manera proactiva las amenazas y los riesgos, las organizaciones pueden defender los datos de los clientes en tiempo real.