Una base de datos masiva, que contiene más de cinco mil millones de registros derivados de violaciones de seguridad anteriores entre 2012 y 2019, se ha dejado desprotegida, sin ninguna protección con contraseña en Internet.

¿Y quién lo dejó expuesto? Una empresa de seguridad.

Investigador Bob Diachenko dice que encontró la "base de datos de violación de datos" no segura en una instancia de Elasticsearch de acceso público, administrada por el equipo de seguridad británico Keepnet Labs, el 16 de marzo.

Diachenko inmediatamente envió a Keepnet Labs una alerta sobre la violación de seguridad, y aunque nunca recibió una respuesta, los datos se desconectaron en una hora.

Los datos con los que se tropezó Diachenko (y que cualquier otra persona podría haber accedido) incluyeron:

• hashtype (por ejemplo, si la contraseña se representó como hash MD5 o texto sin formato
• el año en que se filtraron los datos
• la contraseña (hash, cifrada o texto sin formato)
• la dirección de correo electrónico del usuario violado
• la fuente de la fuga (por ejemplo, Adobe, Last.fm, Twitter, LinkedIn, etc.)

Por supuesto, se trataba de datos que habían sido expuestos previamente en violaciones de seguridad anteriores, por lo que no es que los usuarios cuyos detalles se incluyeron en esta filtración no estén ya en riesgo.

Pero eso realmente no es excusa para que una compañía de seguridad sea tan laxa con respecto a su propia seguridad, y potencialmente agrave aún más los riesgos de los usuarios.

Presumiblemente, Keepnet Labs estaba almacenando su enorme base de datos de registros previamente violados con el fin de realizar su propia investigación sobre incidentes de seguridad o brindar un servicio a sus clientes. Sin embargo, lo que realmente ha hecho es poner a una gran cantidad de personas en mayor riesgo.

Las características de seguridad en instancias de Elasticsearch son deshabilitado por defecto, lo que hace que parezca demasiado fácil para los administradores ignorar efectivamente el requisito esencial para implementar una defensa adecuada antes de hacer que sus sistemas vivan en Internet.

Hace dos meses, Microsoft admitió que se había ido 250 millones de registros de servicio al cliente y soporte expuestos en cinco servidores Elasticsearch no seguros.