Más de 200 millones de registros que contenían una amplia gama de información relacionada con la propiedad de los residentes de EE. UU. quedaron expuestos en una base de datos a la que se podía acceder en la web sin necesidad de contraseña ni autenticación.

Los datos expuestos, una combinación de detalles personales y demográficos, incluían el nombre, la dirección, la dirección de correo electrónico, la edad, el género, el origen étnico, el empleo, la calificación crediticia, las preferencias de inversión, los ingresos, el valor neto y la información de la propiedad, como:

• Valor de mercado
• Tipo de propiedad
• Cantidad, tasa, tipo y prestamista de la hipoteca
• Monto, tasa, tipo y prestamista del refinanciamiento
• Propietarios anteriores
• Año de construcción
• Número de camas y baños.
• Información de evaluación de impuestos

Según la empresa de seguridad Comparitech, se dice que la base de datos, que estaba alojada en Google Cloud, fue indexada por primera vez por el motor de búsqueda BinaryEdge el 26 de enero y descubierta un día después por el investigador de ciberseguridad Bob Diachenko.

Pero después de no poder identificar al propietario de la base de datos, el servidor finalmente se desconectó ayer más de un mes después.

«Hemos estado tratando de contactar al equipo de seguridad en la nube de Google (la IP con la base de datos estaba alojada en su nube) para que eliminen la IP, pero nunca obtuvimos una respuesta», dijo el equipo de investigación a The Hacker News. «No fue posible ninguna otra forma de determinar el propietario porque no había registros DNS inversos disponibles debido a la naturaleza basada en la nube de la IP».

En total, la base de datos constaba de 201.162.598 registros, y cada entrada correspondía a un individuo único.

Comparitech señaló que durante el tiempo que tuvo acceso a la base de datos, «se estaba actualizando con nuevos datos, lo que sugiere que la información contenida es bastante reciente».

Además, la filtración plantea dudas sobre la identidad del servicio que necesitaría almacenar datos demográficos y de identificación personal tan detallados de este tipo.

Advertencia de phishing selectivo

Dado que los datos no estaban adecuadamente protegidos, no está claro de inmediato si otras partes no autorizadas accedieron a esta base de datos y descargaron su contenido. La consecuencia de tal exposición es la mayor posibilidad de ataques dirigidos de spear-phishing.

«La información personal, demográfica y de propiedad detallada contenida en este conjunto de datos es una mina de oro para los spammers, estafadores y ciberdelincuentes que realizan campañas de phishing», dijo Comparitech. «Los datos permiten a los delincuentes no solo apuntar a personas específicas, sino también elaborar un mensaje más convincente».

Específicamente, los atacantes podrían dirigirse a personas con correos electrónicos de phishing para entregar todo tipo de malware que puede descargar programas maliciosos y robar información confidencial.

Por lo tanto, es crucial que los usuarios activen la autenticación de dos factores para agregar una segunda capa de protección de la cuenta.

El incidente no es la única vez que las instancias de servidores con fugas han atraído titulares. En los últimos meses, la información personal de los ciudadanos ecuatorianos y rusos y del personal del gobierno de EE. UU. quedó desprotegida en los servidores de Elasticsearch, lo que subraya que aún queda un largo camino por recorrer en lo que respecta a la seguridad en la nube.