Rice Consulting una compañía de recaudación de fondos que trabajó con el Partido Demócrata de Maryland, expuso públicamente una amplia base de datos de información confidencial a través de un NAS TeraStation de Buffalo que permitió el acceso no autorizado.
El equipo de seguridad de riesgo cibernético de Hacken descubrió el almacenamiento conectado a la red mal configurado el 17 de octubre, y rápidamente fue bastante evidente que la base de datos filtrada fue filtrada en línea por Rice Consulting, una firma de recaudación de fondos demócrata.
Tal como se detalla en el sitio web de Rice Consulting, trabajan con "el Partido Demócrata de Maryland así como con innumerables funcionarios y candidatos electos a nivel estatal, de la Asamblea General, del Condado y locales".
Según los registros de acceso de NAS encontrados por Hacken, la información filtrada estaba accesible desde el 22 de febrero de 2018, lo que permitió a múltiples actores de todo el mundo (por ejemplo, Corea del Sur, Turquía y Tailandia) conectarse al servidor y acceder a los datos. Durante aproximadamente ocho meses.
Aunque no había evidencia de actividad maliciosa en ese momento, el equipo de Hacken menciona el hecho de que "la información del NAS podría haber sido visitada por actores no autorizados e incluso maliciosos".
La información más importante encontrada por Hacken en el NAS fueron las contraseñas de la base de datos ", incluidos los detalles de acceso a NGP, una base de datos de votantes de propiedad privada y un proveedor de servicios de alojamiento web utilizado por el Partido Demócrata Americano, campañas demócratas y otras organizaciones sin fines de lucro autorizadas por el "Cuentas de correo electrónico del Partido Demócrata, MDVAN —Maryland Activation Red, DLCC — Comité de Campaña Legislativa Democrática y DNC - Comité Nacional Demócrata)".
El servidor NAS mal configurado estuvo públicamente accesible durante unos ocho meses, desde el 22 de febrero.
La peor parte es que todas las contraseñas encontradas en el servidor NAS mal configurado no fueron cifradas y almacenadas en un documento de hoja de cálculo de Excel que permitiría a posibles adversarios robarlo todo en cuestión de segundos, sin la necesidad de herramientas especializadas de descifrado o exfiltración.
El equipo de Hacken también descubrió que la base de datos expuesta al acceso público sin restricciones contenía información del cliente con datos de miles de recaudadores de fondos y grandes cantidades de información privada, desde teléfonos y nombres hasta direcciones y correos electrónicos personales.
Además, la información que Rice Consulting puso a disposición del público también incluyó datos sobre contratos y detalles de empleados, así como notas de reuniones y varias copias de seguridad de escritorio.
Rice Consulting fue notificada justo después de que se descubriera el servidor NAS vulnerable con acceso a Internet, pero, después de no recibir una respuesta después de 24 horas, también fueron contactados a través de llamadas telefónicas que desafortunadamente fueron rechazadas.
Después de ser contactado y recibir la información de violación de datos, Rice Consulting bloqueó el acceso público al NAS y le envió a Hacken una nota de "agradecimiento" por toda su ayuda.
Fecha actualización el 2021-10-25. Fecha publicación el 2018-10-25. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: softpedia