Los datos robados se remontan a Mayo del año pasado, incluyendo directorios de empleados de 25 organizaciones principales.
Los investigadores de Hudson Rock informaron que un actor malicioso publicó en la Dark Web datos relacionados con una vulnerabilidad crítica explotada en MOVEit, el cual es un software de transferencia de archivos, lo que permitió exponer información extensa de cientos de empleados en compañías de renombre a lo largo del mundo.
Hay que tener en cuenta que los únicos afectados hasta el momento son los usuarios y empleados internos de las empresas, mientras que los clientes no han sido impactados.
No es la primera vez que se explota esta vulnerabilidad. A mediados del 2023 se expuso una falla crítica en el software de transferencia de archivos ampliamente utilizado, lo que permitió a los piratas informáticos eludir la autenticación y acceder a datos confidenciales. Este exploit se propagó rápidamente, lo que llevó a numerosas filtraciones de alto rango en todas las industrias a medida que los atacantes exfiltraban información confidencial de empleados y clientes de sistemas vulnerables.
Los directorios contienen información detallada de los empleados, incluyendo
nombres, direcciones de correo electrónico, números de teléfono, códigos de centro de costos y, en algunos casos, estructuras organizativas completas. Dichos datos podrían servir como una mina de oro para los ciberdelincuentes que buscan participar en phishing, robo de identidad o incluso ataques de ingeniería social a gran escala.
Esta violación de datos enfatiza el impacto de gran alcance de la vulnerabilidad de MOVEit y los riesgos involucrados cuando los parches de seguridad no se aplican rápidamente.
Aquí hay un desglose de la fuga por empresa:
- Amazon — 2,861,111 registros
- MetLife — 585,130 registros
- Cardinal Health — 407,437 registros
- HSBC — 280,693 registros
- Fidelity — 124,464 registros
- U.S. Bank — 114,076 registros
- HP — 104,119 registros
- Canada Post — 69,860 registros
- Delta Airlines — 57,317 registros
- Applied Materials (AMAT) — 53,170 registros
- Leidos — 52,610 registros
- Charles Schwab — 49,356 registros
- 3M — 48,630 registros
- Lenovo — 45,522 registros
- Bristol Myers Squibb — 37,497 registros
- Omnicom Group — 37,320 registros
- TIAA — 23,857 registros
- Union Bank of Switzerland (UBS) — 20,462 registros
- Westinghouse — 18,193 registros
- Urban Outfitters (URBN) — 17,553 registros
- Rush University — 15,853 registros
- British Telecom (BT) — 15,347 registros
- Firmenich — 13,248 registros
- City National Bank (CNB) — 9,358 registros
- McDonald’s — 3,295 registros
Estos datos estructurados revelan no solo información de contacto, sino también detalles confidenciales sobre los roles organizacionales y las asignaciones de departamentos, lo que podría abrir las puertas a la ingeniería social y otras amenazas de seguridad.
Si tomamos por ejemplo el caso de la filtración de HSBC, esta abarca las operaciones globales, enumerando a los empleados en ubicaciones en todo el Reino Unido, India y otros países, junto con sus códigos específicos de sucursales o departamentos. Este nivel de granularidad de datos, combinado con identificadores personales, subraya el impacto crítico en la seguridad corporativa y la privacidad de los empleados.
El actor de amenazas dejó un mensaje advirtiendo a las empresas y organizaciones a que sean conscientes de las posibles amenazas y debilidades en sus sistemas, al tiempo que publicitan los datos para los actores maliciosos que pueden hacer un mal uso de ellos.
Potenciales riesgos y consecuencias
Esta masiva filtración tiene graves implicaciones, no solo para las empresas involucradas, sino también para los empleados individuales cuyos datos se han visto comprometidos. La profundidad de la información brindan una amplia oportunidad para que los ciberdelincuentes realicen ataques altamente dirigidos.
Una de las posibilidades más fuertes se centra en los ataques de phishing e ingeniería social, ya que con los datos de contacto, los nombres y las estructuras organizativas disponibles, los ciberdelincuentes pueden adaptar los correos electrónicos de phishing para que parezcan más legítimos y evitar los controles de seguridad.
También se puede incluir el concepto de espionaje corporativo, donde el acceso a estructuras jerárquicas y detalles de los empleados ofrece oportunidades para el espionaje, brindando a los competidores o entidades maliciosas información sobre las operaciones internas.
El daño reputacional es otro apartado a tener en cuenta. Considerando que estas son empresas de alto perfil, pueden quedar particularmente vulnerables al impacto reputacional de tales infracciones, ya que los clientes y los clientes se preocupan cada vez más por la seguridad de los datos.
Finalmente, los datos del sector financiero, como es el caso del banco HSBC son puntualmente atractivos para el robo y el fraude. Tener registros de empleados y canales de comunicación puede ayudar en esquemas de fraude más sofisticados dirigidos a estas organizaciones.
En cuanto a las medidas a tener en cuenta, se puede considerar la implementación de actualizaciones y parches constantes que puedan corregir las vulnerabilidades de software. También es crucial realizar una auditoría de seguridad integral, identificando cualquier fallo de seguridad potencial que pueda conducir a una mayor exposición.
Los empleados son a menudo la primera línea de defensa contra los ataques de ingeniería social. Las empresas deben reforzar la capacitación en torno al reconocimiento de phishing, el manejo seguro de datos y las prácticas de comunicación seguras.
En otra medida, se puede limitar el acceso e implementar segmentación de datos. Al restringir el acceso a la información en función de los roles e implementar una segmentación de datos sólida, las organizaciones pueden reducir la cantidad de información confidencial accesible para los piratas informáticos si ingresan a un sistema.
Esta masiva filtración de datos sirve como un poderoso recordatorio de la importancia crítica de la gestión rápida de vulnerabilidades y las medidas proactivas de ciberseguridad. A medida que las amenazas cibernéticas continúan evolucionando, cada organización, independientemente de la industria, debe priorizar una cultura de vigilancia y resiliencia de la ciberseguridad.