DigitalOcean, una de las plataformas de alojamiento web modernas más grandes, se vio afectada recientemente por un incidente de fuga de datos preocupante que expuso algunos de los datos de sus clientes a terceros desconocidos y no autorizados.
Aunque la empresa de alojamiento aún no ha emitido una declaración pública, sí comenzó a advertir a los clientes afectados sobre el alcance de la infracción a través de un correo electrónico.
Según el correo electrónico de notificación de incumplimiento que afectó a los clientes [1, 2] recibida, la fuga de datos ocurrió debido a una negligencia en la que DigitalOcean dejó «sin querer» un documento interno accesible a Internet sin requerir ninguna contraseña.
«Este documento contenía su dirección de correo electrónico y/o nombre de cuenta (el nombre que le dio a su cuenta al registrarse), así como algunos datos sobre su cuenta que pueden haber incluido el recuento de gotas, el uso de ancho de banda, algunas notas de soporte o comunicaciones de ventas, y el monto que pagó durante 2018 «, dijo la compañía en el correo electrónico de advertencia que se muestra a continuación.
Tras el descubrimiento, una rápida investigación digital reveló que terceros no autorizados accedieron al archivo expuesto que contenía los datos de los clientes al menos 15 veces antes de que finalmente se eliminara el documento.
«Nuestra comunidad se basa en la confianza, por lo que estamos tomando medidas para asegurarnos de que esto no vuelva a suceder. Educaremos a nuestros empleados sobre la protección de los datos de los clientes, estableceremos nuevos procedimientos para alertarnos sobre posibles exposiciones de manera más oportuna y haciendo cambios de configuración para evitar la futura exposición de datos «, agregó la compañía.
Cabe señalar que esta infracción específica no indica que el sitio web de DigitalOcean se haya visto comprometido, ni que las credenciales de inicio de sesión de los clientes se hayan filtrado a los atacantes.
Entonces, si tiene una cuenta con el servicio de alojamiento, no tiene que apresurarse a cambiar su contraseña. Sin embargo, el servicio también ofrece autenticación de dos factores que cada usuario debe habilitar para agregar una capa adicional de seguridad a sus cuentas.
The Hacker New se comunicó con DigitalOcean para obtener un comentario, y la historia se actualizará con la respuesta.
Actualizar – Un portavoz de la compañía confirmó el incidente a The Hacker News y compartió una declaración:
«Tuvimos un documento que se descubrió que se compartía públicamente y, aunque confiamos en que no hubo acceso malicioso a ese documento, informamos a nuestros clientes independientemente de la transparencia. Menos del 1 % de nuestra base de clientes se vio afectada y la única PII incluida en el archivo estaba el nombre de la cuenta y la dirección de correo electrónico.
«Esto no estaba relacionado con un acto malicioso para acceder a nuestros sistemas. Nuestros clientes nos confían sus datos y creemos que un uso no intencionado de esos datos, por pequeño que sea, es razón suficiente para ser transparentes».
