(Bloomberg) — En un episodio que subraya la vulnerabilidad de las redes informáticas globales, los piratas informáticos obtuvieron las credenciales de inicio de sesión para los centros de datos en Asia utilizados por algunas de las empresas más grandes del mundo, una bonanza potencial para el espionaje o el sabotaje, según una firma de investigación de seguridad cibernética. .
Más leído de Bloomberg
Los cachés de datos no informados anteriormente involucran correos electrónicos y contraseñas para sitios web de atención al cliente para dos de los operadores de centros de datos más grandes de Asia: GDS Holdings Ltd. con sede en Shanghai y ST Telemedia Global Data Centres con sede en Singapur, según Resecurity Inc., que proporciona servicios de ciberseguridad e investiga a los piratas informáticos. Cerca de 2,000 clientes de GDS y STT GDC se vieron afectados. Los piratas informáticos han iniciado sesión en las cuentas de al menos cinco de ellos, incluida la principal plataforma de comercio de divisas y deuda de China y otros cuatro de India, según Resecurity, que dijo que se infiltró en el grupo de piratería.
No está claro qué hicieron los piratas informáticos con los otros inicios de sesión, si es que hicieron algo. La información incluía credenciales en cantidades variables para algunas de las empresas más grandes del mundo, incluidas Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., y Walmart Inc., según la firma de seguridad y cientos de páginas de documentos que revisó Bloomberg.
En respuesta a las preguntas sobre los hallazgos de Resecurity, GDS dijo en un comunicado que un sitio web de atención al cliente fue violado en 2021. No está claro cómo los piratas informáticos obtuvieron los datos de STT GDC. Esa compañía dijo que no encontró evidencia de que su portal de servicio al cliente estuviera comprometido ese año. Ambas compañías dijeron que las credenciales no autorizadas no representaban un riesgo para los sistemas o datos de TI de los clientes.
Sin embargo, Resecurity y los ejecutivos de cuatro importantes empresas con sede en EE. UU. que se vieron afectadas dijeron que las credenciales robadas representaban un peligro inusual y grave, principalmente porque los sitios web de atención al cliente controlan quién puede acceder físicamente a los equipos de TI alojados en los centros de datos. Esos ejecutivos, que se enteraron de los incidentes por medio de Bloomberg News y corroboraron la información con sus equipos de seguridad, quienes pidieron no ser identificados por no estar autorizados a hablar públicamente del asunto.
Suscríbase a nuestro boletín semanal de ciberseguridad, el Cyber Bulletin, aquí.
La magnitud de la pérdida de datos informada por Resecurity destaca el creciente riesgo que enfrentan las empresas debido a su dependencia de terceros para alojar datos y equipos de TI y ayudar a que sus redes lleguen a los mercados globales. Los expertos en seguridad dicen que el problema es particularmente grave en China, que requiere que las corporaciones se asocien con proveedores locales de servicios de datos.
“Esto es una pesadilla a punto de suceder”, dijo Michael Henry, ex director de información de Digital Realty Trust Inc., uno de los mayores operadores de centros de datos de EE. UU., cuando Bloomberg le informó sobre los incidentes. (Digital Realty Trust no se vio afectado por los incidentes). El peor de los casos para cualquier operador de centro de datos es que los atacantes de alguna manera obtengan acceso físico a los servidores de los clientes e instalen códigos maliciosos o equipos adicionales, dijo Henry. “Si pueden lograr eso, potencialmente pueden interrumpir las comunicaciones y el comercio a gran escala”.
GDS y STT GDC dijeron que no tenían indicios de que algo así sucediera y que sus servicios principales no se vieron afectados.
Los piratas informáticos tuvieron acceso a las credenciales de inicio de sesión durante más de un año antes de publicarlas para la venta en la web oscura el mes pasado, por $ 175,000, diciendo que estaban abrumados por el volumen, según Resecurity y una captura de pantalla de la publicación revisada por Bloomberg. .
“Utilicé algunos objetivos”, dijeron los piratas informáticos en la publicación. “Pero no se puede manejar ya que el número total de empresas supera las 2,000”.
Las direcciones de correo electrónico y las contraseñas podrían haber permitido a los piratas informáticos hacerse pasar por usuarios autorizados en los sitios web de servicio al cliente, según Resecurity. La firma de seguridad descubrió los cachés de datos en septiembre de 2021 y dijo que también encontró evidencia de que los piratas informáticos los estaban usando para acceder a las cuentas de los clientes de GDS y STT GDC en enero, cuando ambos operadores del centro de datos forzaron el restablecimiento de la contraseña del cliente, según Resecurity.
Incluso sin contraseñas válidas, los datos seguirían siendo valiosos, lo que permitiría a los piratas informáticos crear correos electrónicos de phishing dirigidos contra personas con acceso de alto nivel a las redes de sus empresas, según Resecurity.
La mayoría de las empresas afectadas que contactó Bloomberg News, incluidas Alibaba, Amazon, Huawei y Walmart, se negaron a comentar. Apple no respondió a los mensajes en busca de comentarios.
En un comunicado, Microsoft dijo: “Supervisamos regularmente las amenazas que podrían afectar a Microsoft y cuando se identifican amenazas potenciales, tomamos las medidas adecuadas para proteger a Microsoft y a nuestros clientes”. Un portavoz de Goldman Sachs dijo: “Tenemos controles adicionales implementados para protegernos contra este tipo de infracciones y estamos satisfechos de que nuestros datos no estuvieron en riesgo”.
El fabricante de automóviles BMW dijo que estaba al tanto del problema. Pero un portavoz de la compañía dijo: "Después de la evaluación, el problema tiene un impacto muy limitado en los negocios de BMW y no ha causado daños a los clientes de BMW ni a la información relacionada con el producto". El portavoz agregó: "BMW ha instado a GDS a mejorar el nivel de seguridad de la información".
GDS y STT GDC son dos de los mayores proveedores de servicios de "coubicación" de Asia. Actúan como propietarios, alquilando espacio en sus centros de datos a clientes que instalan y administran allí su propio equipo de TI, generalmente para estar más cerca de los clientes y las operaciones comerciales en Asia. GDS se encuentra entre los tres principales proveedores de colocación en China, el segundo mercado más grande para el servicio en el mundo después de EE. UU., según Synergy Research Group Inc. Singapur ocupa el sexto lugar.
Las empresas también están entrelazadas: un informe corporativo muestra que en 2014, Singapore Technologies Telemedia Pte, la matriz de STT GDC, adquirió una participación del 40 % en GDS.
El director ejecutivo de Resecurity, Gene Yoo, dijo que su empresa descubrió los incidentes en 2021 después de que uno de sus agentes se infiltrara en un grupo de piratería en China que había atacado objetivos gubernamentales en Taiwán.
Poco después, alertó a GDS y STT GDC y a una pequeña cantidad de clientes de Resecurity que se vieron afectados, según Yoo y los documentos.
Resecurity notificó a GDS y STT GDC nuevamente en enero después de descubrir que los piratas informáticos accedían a las cuentas, y la empresa de seguridad también alertó a las autoridades en China y Singapur en ese momento, según Yoo y los documentos.
Ambos operadores de centros de datos dijeron que respondieron rápidamente cuando se les notificó sobre los problemas de seguridad e iniciaron investigaciones internas.
Cheryl Lee, portavoz de la Agencia de Seguridad Cibernética de Singapur, dijo que la agencia “está al tanto del incidente y está ayudando a ST Telemedia en este asunto”. El Centro de Coordinación/Equipo Técnico de Respuesta a Emergencias de la Red Informática Nacional de China, una organización no gubernamental que maneja la respuesta a emergencias cibernéticas, no respondió a los mensajes en busca de comentarios.
GDS reconoció que se violó un sitio web de atención al cliente y dijo que investigó y solucionó una vulnerabilidad en el sitio en 2021.
“La aplicación que fue atacada por piratas informáticos tiene un alcance e información limitados a funciones de servicio no críticas, como hacer solicitudes de emisión de boletos, programar la entrega física de equipos y revisar informes de mantenimiento”, según un comunicado de la compañía. “Las solicitudes realizadas a través de la aplicación generalmente requieren seguimiento y confirmación fuera de línea. Dada la naturaleza básica de la aplicación, la violación no resultó en ninguna amenaza para las operaciones de TI de nuestros clientes”.
STT GDC dijo que trajo expertos en ciberseguridad externos cuando se enteró del incidente en 2021. “El sistema de TI en cuestión es una herramienta de emisión de boletos de servicio al cliente” y “no tiene conexión con otros sistemas corporativos ni ninguna infraestructura de datos críticos”, dijo la compañía. .
La compañía dijo que su portal de servicio al cliente no fue violado en 2021 y que las credenciales obtenidas por Resecurity son “una lista parcial y desactualizada de credenciales de usuario para nuestras aplicaciones de emisión de boletos para clientes. Cualquier dato de este tipo ahora no es válido y no representa un riesgo de seguridad en el futuro”.
“No se observó ningún acceso no autorizado ni pérdida de datos”, según el comunicado de STT GDC.
Independientemente de cómo los piratas informáticos hayan utilizado la información, los expertos en seguridad cibernética dijeron que los robos muestran que los atacantes están explorando formas novedosas de infiltrarse en objetivos difíciles.
La seguridad física de los equipos de TI en los centros de datos de terceros y los sistemas para controlar el acceso a ellos representan vulnerabilidades que los departamentos de seguridad corporativa a menudo pasan por alto, dijo Malcolm Harkins, exjefe de seguridad y privacidad de Intel Corp. Cualquier manipulación del centro de datos equipo “podría tener consecuencias devastadoras”, dijo Harkins.
Los piratas informáticos obtuvieron direcciones de correo electrónico y contraseñas de más de 3,000 personas en GDS, incluidos sus propios empleados y los de sus clientes, y más de 1,000 de STT GDC, según los documentos revisados por Bloomberg News.
Los piratas informáticos también robaron las credenciales de la red de GDS de más de 30,000 12345 cámaras de vigilancia, la mayoría de las cuales se basaban en contraseñas simples como "admin" o "adminXNUMX", según muestran los documentos. GDS no abordó una pregunta sobre el presunto robo de credenciales de la red de la cámara o sobre las contraseñas.
La cantidad de credenciales de inicio de sesión para los sitios web de atención al cliente varió para diferentes clientes. Por ejemplo, había 201 cuentas en Alibaba, 99 en Amazon, 32 en Microsoft, 16 en Baidu Inc., 15 en Bank of America Corp., siete en Bank of China Ltd., cuatro en Apple y tres en Goldman, según los documentos. Yoo de Resecurity dijo que los piratas informáticos solo necesitan una dirección de correo electrónico y una contraseña válidas para acceder a la cuenta de una empresa en el portal de servicio al cliente.
Entre las otras empresas cuyos datos de inicio de sesión de los trabajadores se obtuvieron, según Resecurity y los documentos, estaban: Bharti Airtel Ltd. en India, Bloomberg LP (propietaria de Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. en Filipinas, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. en Australia, Tencent Holdings Ltd., Verizon Communications Inc. y Wells Fargo & Co.
En un comunicado, Baidu dijo: “No creemos que ningún dato se haya visto comprometido. Baidu presta gran atención para garantizar la seguridad de los datos de nuestros clientes. Seguiremos de cerca asuntos como este y permaneceremos alerta ante cualquier amenaza emergente a la seguridad de los datos en cualquier parte de nuestras operaciones”.
Un representante de Porsche dijo: “En este caso específico, no tenemos indicios de que haya algún riesgo”. Un representante de SoftBank dijo que una subsidiaria china dejó de usar GDS el año pasado. “No se ha confirmado ninguna fuga de datos de información del cliente de la empresa local de China, ni ha habido ningún impacto en su negocio y servicios”, dijo el representante.
Un portavoz de Telstra dijo: "No tenemos conocimiento de ningún impacto en el negocio después de esta violación", mientras que un representante de Mastercard dijo: "Si bien continuamos monitoreando esta situación, no tenemos conocimiento de ningún riesgo para nuestro negocio o impacto para nuestra red o sistemas de transacciones”.
Un representante de Tencent dijo: “No tenemos conocimiento de ningún impacto en el negocio después de esta infracción. Administramos nuestros servidores dentro de los centros de datos directamente, y los operadores de las instalaciones de los centros de datos no tienen acceso a los datos almacenados en los servidores de Tencent. No hemos descubierto ningún acceso no autorizado a nuestros sistemas y servidores de TI después de la investigación, que permanecen seguros y protegidos”.
Un portavoz de Wells Fargo dijo que usó GDS para la infraestructura de TI de respaldo hasta diciembre de 2022. “GDS no tenía acceso a los datos, sistemas o la red de Wells Fargo”, dijo la compañía. Todas las otras compañías se negaron a comentar o no respondieron.
Yoo de Resecurity dijo que en enero, el operativo encubierto de su empresa presionó a los piratas informáticos para que demostraran si todavía tenían acceso a las cuentas. Los piratas informáticos proporcionaron capturas de pantalla que los mostraban iniciando sesión en cuentas de cinco empresas y navegando a diferentes páginas en los portales en línea GDS y STT GDC, dijo. Resecurity permitió que Bloomberg News revisara esas capturas de pantalla.
En GDS, los piratas informáticos accedieron a una cuenta del Sistema de comercio de divisas de China, un brazo del banco central de China que desempeña un papel clave en la economía de ese país, operando la principal plataforma de comercio de divisas y deuda del gobierno, según las capturas de pantalla y Resecurity. La organización no respondió a los mensajes.
En STT GDC, los piratas informáticos accedieron a las cuentas de National Internet Exchange of India, una organización que conecta a los proveedores de Internet en todo el país, y a otras tres con sede en India: MyLink Services Pvt., Skymax Broadband Services Pvt. y Logix InfoSecurity Pvt., muestran las capturas de pantalla.
Alcanzado por Bloomberg, el Intercambio Nacional de Internet de India dijo que no estaba al tanto del incidente y se negó a hacer más comentarios. Ninguna de las otras organizaciones en India respondió a las solicitudes de comentarios.
Cuando se le preguntó sobre la afirmación de que los piratas informáticos todavía accedían a las cuentas en enero utilizando las credenciales robadas, un representante de GDS dijo: “Recientemente, detectamos varios ataques nuevos de piratas informáticos que utilizan la información de acceso a la cuenta anterior. Hemos utilizado varias herramientas técnicas para bloquear estos ataques. Hasta ahora, no hemos encontrado ninguna nueva entrada exitosa de piratas informáticos que se deba a la vulnerabilidad de nuestro sistema”.
El representante de GDS agregó: “Como sabemos, un solo cliente no restableció una de las contraseñas de su cuenta para esta aplicación que pertenecía a un ex empleado suyo. Esa es la razón por la que recientemente forzamos un restablecimiento de contraseña para todos los usuarios. Creemos que este es un evento aislado. No es el resultado de que los piratas informáticos rompan nuestro sistema de seguridad”.
STT GDC dijo que recibió una notificación en enero de nuevas amenazas a los portales de servicio al cliente en "nuestras regiones de India y Tailandia". “Nuestras investigaciones hasta la fecha indican que no ha habido pérdida de datos ni impacto en ninguno de estos portales de servicio al cliente”, dijo la compañía.
A finales de enero, después de que GDS y STT GDC cambiaran las contraseñas de los clientes, Resecurity detectó que los piratas informáticos publicaban las bases de datos para la venta en un foro de la dark web, en inglés y chino, según Yoo.
“Los DB contienen información del cliente, se pueden usar para phishing, acceso a gabinetes, monitoreo de pedidos y equipos, pedidos de manos remotas”, decía la publicación. "¿Quién puede ayudar con el phishing dirigido?"
Más leído de Bloomberg Businessweek
© 2023 Bloomberg LP
Fuente: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html