Investigadores encuentran fallas en sitio web que expuso datos de una compañía
A finales del mes de junio, un investigador de ciberseguridad encontró una vulnerabilidad en una aplicación web, la cual es empleada por una de las organizaciones de capital de riesgo más poderosas e influyentes del mundo. Dicha vulnerabilidad expone algunos datos sobre las empresas de la cartera de clientes de la compañía. Por fortuna, el error ya se ha solucionado.
Todo comenzó cuando una investigadora escribió en la red social X, antes llamada Twitter, que estaba buscando a alguien de la compañía de capital de riesgo, llamada a16z, para contactarlos, insinuando que había encontrado un inconveniente de seguridad.
Cuando diversos medios establecieron contacto con dicha investigadora, manifestó que había encontrado un simple error, que, básicamente, otorga acceso a todo en el portal de la cartera de la empresa a16z. Específicamente, encontró claves API expuestas en el sitio, en donde la información que se podía ver eran correos electrónicos, contraseñas y detalles de la empresa y de empleados.
Del mismo modo, podría haber enviado correos electrónicos haciéndose pasar por la empresa a16z y acceder a emails enviados previamente, por ejemplo, desde servicios de entrega de correo electrónico.
Entretanto, el director de seguridad de la información en a16z, confirmó que la empresa solucionó el error el mismo día quela investigadora escribió la publicación y se puso en contacto con la empresa. Del mismo modo, señaló que el problema no afectó ningún dato confidencial.
La empresa a16z ha solucionado un problema de configuración en una aplicación web, la cual se utiliza para el caso de uso específico de actualizar información disponible públicamente en el sitio web.
El problema se ha resuelto rápidamente y no se comprometió ningún dato confidencial, según las declaraciones de los portavoces de la compañía afectada. Además, manifiestan que siguen comprometidos a colaborar con la comunidad de seguridad en las divulgaciones éticas y van a continuar haciéndolo por medio de medios responsables.
Las vulnerabilidades, aunque pequeñas en un primer momento, deben ser subsanadas de inmediato, debido a que son la puerta para que los hackers maliciosos puedan irrumpir en sistemas informáticos y, una vez que lo logran, roban información y a entorpecer los procesos empresariales. Por ello, TIC Defense pone a tu disposición equipos de seguridad informática completos, mediante herramientas, soluciones y servicios que se adaptan a las necesidades de tu organización.
Sin embargo, la investigadora ha preguntado a la empresa acerca de un programa de recompensas por errores, un método en el que los investigadores de ciberseguridad pueden obtener recompensas por sus descubrimientos, la empresa le ha informado que no ofrece un programa de este tipo.
Además, un empleado de a16z procedió a explicarle que el método de divulgación no fue el adecuado. Publicar un problema grave en una red social masiva podría significar que los atacantes potenciales pudieron escanear los sitios de la organización, aumentando el riesgo significativamente.
De la misma forma, la publicación de la investigadora describía incorrectamente el problema, ya que escribir que la vulnerabilidad “otorgaba acceso a todo” y prometía una descripción, no había indicado las mejores intenciones para el equipo de ciberseguridad.
Sin embargo, no es de extrañar que los investigadores de seguridad divulguen sus hallazgos cuando la vulnerabilidad, el fallo de seguridad o la intrusión ya se ha solucionado y ya no corren riesgo alguno.
