En un episodio que subraya la vulnerabilidad de las redes informáticas mundiales, los piratas informáticos obtuvieron las credenciales de inicio de sesión de los centros de datos en Asia que utilizan algunas de las empresas más grandes del mundo, una bonanza potencial para el espionaje o el sabotaje, según una empresa de investigación de seguridad cibernética.
Los cachés de datos no informados anteriormente involucran correos electrónicos y contraseñas para sitios web de atención al cliente para dos de los operadores de centros de datos más grandes de Asia: GDS Holdings y ST Telemedia Global Data Centres con sede en Singapur , según Resecurity Inc., que proporciona servicios de ciberseguridad e investiga a los piratas informáticos. Cerca de 2.000 clientes de GDS y STT GDC se vieron afectados. Los piratas informáticos han iniciado sesión en las cuentas de al menos cinco de ellos, incluida la principal plataforma de comercio de divisas y deuda de China y otros cuatro de la India, según Resecurity, que dijo que se infiltró en el grupo de piratería.
No está claro qué, en todo caso, hicieron los piratas informáticos con los otros inicios de sesión. La información incluía credenciales en cantidades variables para algunas de las compañías más grandes del mundo, incluidas Alibaba Group Holding, Amazon.com, Apple, BMW AG, Goldman Sachs Group, Huawei Technologies, Microsoft y Walmart, según la firma de seguridad y cientos de páginas. de documentos que revisó Bloomberg.
En respuesta a las preguntas sobre los hallazgos de Resecurity, GDS dijo en un comunicado que un sitio web de atención al cliente fue violado en 2021. No está claro cómo los piratas informáticos obtuvieron los datos de STT GDC. Esa compañía dijo que no encontró evidencia de que su portal de servicio al cliente estuviera comprometido ese año. Ambas compañías dijeron que las credenciales no autorizadas no representaban un riesgo para los sistemas de TI o los datos de los clientes.
Sin embargo, Resecurity y los ejecutivos de las cuatro principales empresas con sede en EE. UU. que se vieron afectadas dijeron que las credenciales robadas representaban un riesgo inusual y peligro grave, principalmente porque el sitio web de atención al cliente controla quién puede acceder físicamente al equipo de TI alojado en los centros de datos. Esos ejecutivos, que se enteraron de los incidentes por Bloomberg News y corroboraron la información con sus equipos de seguridad, pidieron no ser identificados porque no estaban autorizados a hablar públicamente sobre el asunto.
La magnitud de los datos La pérdida reportada por Resecurity destaca el creciente riesgo que enfrentan las empresas debido a su dependencia de terceros para alojar datos y equipos de TI y ayudar a que sus redes lleguen a los mercados globales. Los expertos en seguridad dicen que el problema es particularmente grave en China, que requiere que las corporaciones se asocien con proveedores locales de servicios de datos.
“Esto es una pesadilla que está por suceder”, dijo Michael Henry, ex director de información de Digital Realty. Trust, uno de los mayores operadores de centros de datos de EE. UU., cuando Bloomberg le informó sobre los incidentes. (Digital Realty Trust no se vio afectado por los incidentes). El peor de los casos para cualquier operador de centro de datos es que los atacantes de alguna manera obtengan acceso físico a los servidores de los clientes e instalen códigos maliciosos o equipos adicionales, dijo Henry.”Si pueden lograr eso, potencialmente pueden interrumpir las comunicaciones y el comercio a gran escala”.
GDS y STT GDC dijeron que no tenían indicios de que algo así sucediera, y que sus servicios principales no estaban afectados.
Los piratas informáticos tuvieron acceso a las credenciales de inicio de sesión durante más de un año antes de publicarlas para la venta en la web oscura el mes pasado, por $ 175,000 (casi Rs. 1,45 millones de rupias), diciendo que estaban abrumados por la volumen, según Resecurity y una captura de pantalla de la publicación revisada por Bloomberg.
“Usé algunos objetivos”, dijeron los piratas informáticos en la publicación.”Pero no se puede manejar, ya que el número total de empresas supera las 2000″.
Las direcciones de correo electrónico y las contraseñas podrían haber permitido a los piratas informáticos hacerse pasar por usuarios autorizados en los sitios web de servicio al cliente, según Resecurity. La firma de seguridad descubrió los cachés de datos en septiembre de 2021 y dijo que también encontró evidencia de que los piratas informáticos los estaban usando para acceder a las cuentas de los clientes de GDS y STT GDC en enero, cuando ambos operadores del centro de datos forzaron el restablecimiento de la contraseña del cliente, según Resecurity.
Incluso sin contraseñas válidas, los datos seguirían siendo valiosos, lo que permitiría a los piratas informáticos crear correos electrónicos de phishing dirigidos contra personas con acceso de alto nivel a las redes de sus empresas, según Resecurity.
La mayoría de las empresas afectadas que contactó Bloomberg News, incluidas Alibaba, Amazon, Huawei y Walmart, se negaron a comentar. Apple no respondió a los mensajes en busca de comentarios.
En un comunicado, Microsoft dijo:”Supervisamos regularmente las amenazas que podrían afectar a Microsoft y cuando se identifican amenazas potenciales, tomamos las medidas adecuadas para proteger a Microsoft y a nuestros clientes..” Un portavoz de Goldman Sachs dijo:”Tenemos controles adicionales implementados para protegernos contra este tipo de infracciones y estamos satisfechos de que nuestros datos no estuvieran en riesgo”.
El fabricante de automóviles BMW dijo que estaba al tanto de la asunto. Pero un portavoz de la compañía dijo:”Después de la evaluación, el problema tiene un impacto muy limitado en los negocios de BMW y no ha causado daños a los clientes de BMW ni a la información relacionada con el producto”. El portavoz añadió:”BMW ha instado a GDS a mejorar el nivel de seguridad de la información”.
GDS y STT GDC son dos de los mayores proveedores de servicios de”coubicación”de Asia. Actúan como propietarios, alquilando espacio en sus centros de datos a clientes que instalan y administran allí su propio equipo de TI, generalmente para estar más cerca de los clientes y las operaciones comerciales en Asia. GDS se encuentra entre los tres principales proveedores de colocación en China, el segundo mercado más grande para el servicio en el mundo después de EE. UU., según Synergy Research Group, Singapur ocupa el sexto lugar.
Las empresas también están entrelazados: un archivo corporativo muestra que en 2014, Singapore Technologies Telemedia Pte, la empresa matriz de STT GDC, adquirió una participación del 40 % en GDS.
Director ejecutivo de Resecurity Gene Yoo dijo que su empresa descubrió los incidentes en 2021 después de que uno de sus agentes se infiltrara en un grupo de hackers en China que había atacado objetivos del gobierno en Taiwán.
Poco después, alertó a GDS y STT GDC y a un pequeño número de clientes de Resecurity que se vieron afectados, según Yoo y los documentos.
Resecurity notificó a GDS y STT GDC nuevamente en enero después de descubrir que los piratas informáticos accedían a las cuentas, y la empresa de seguridad también alertó a las autoridades en China y Singapur en ese momento, según Yoo y los documentos.
Ambos operadores de centros de datos dijeron que respondieron rápidamente cuando se les notificó sobre los problemas de seguridad y comenzaron investigaciones internas.
Cheryl Lee, portavoz de Agencia de Seguridad Cibernética de Singapur, dijo que la agencia”está al tanto del incidente y está ayudando a ST Telemedia en este asunto”. El Centro de Coordinación/Equipo Técnico de Respuesta a Emergencias de la Red Informática Nacional de China, un organización no gubernamental que maneja la respuesta a emergencias cibernéticas, no respondió a los mensajes en busca de comentarios.
GDS reconoció que un sitio web de atención al cliente fue violado y dijo que investigó y solucionó una vulnerabilidad en el sitio en 2021.
“La aplicación que fue atacada por los piratas informáticos está limitada en alcance e información a funciones de servicio no críticas, como hacer solicitudes de emisión de boletos, programar la entrega física de equipos y revisar informes de mantenimiento”, según una empresa. declaración. “Las solicitudes realizadas a través de la aplicación generalmente requieren seguimiento y confirmación fuera de línea. Dada la naturaleza básica de la aplicación, la brecha no resultó en ninguna amenaza para las operaciones de TI de nuestros clientes”.
STT GDC dijo que trajo expertos externos en seguridad cibernética cuando se enteró del incidente en 2021.”El sistema de TI en cuestión es una herramienta de emisión de boletos de servicio al cliente” y “no tiene conexión con otros sistemas corporativos ni con ninguna infraestructura de datos crítica”, dijo la compañía.
La compañía dijo que su portal de servicio al cliente no fue violado en 2021 y que las credenciales obtenidas por Resecurity son “una lista parcial y desactualizada de credenciales de usuario para nuestras aplicaciones de emisión de boletos de clientes. Dichos datos ahora no son válidos y no representan un riesgo de seguridad en el futuro”.
“No se observó ningún acceso no autorizado ni pérdida de datos”, según la declaración de STT GDC.
Independientemente de cómo los piratas informáticos pueden haber utilizado la información, los expertos en seguridad cibernética dijeron que los robos muestran que los atacantes están explorando formas novedosas de infiltrarse en objetivos difíciles.
La seguridad física de los equipos de TI en los centros de datos de terceros y los sistemas para controlar el acceso a él representa vulnerabilidades que a menudo son pasadas por alto por los departamentos de seguridad corporativos, dijo Malcolm Harkins, exjefe de seguridad y privacidad de Intel. Cualquier manipulación del equipo del centro de datos”podría tener consecuencias devastadoras”, dijo Harkins.
Los piratas informáticos obtuvieron direcciones de correo electrónico y contraseñas de más de 3000 personas en GDS, incluidos sus propios empleados y los de sus clientes, y más. más de 1,000 de STT GDC, según los documentos revisados por Bloomberg News.
Los piratas informáticos también robaron las credenciales de la red de GDS de más de 30,000 cámaras de vigilancia, la mayoría de las cuales dependían de contraseñas simples como”admin”o “admin12345”, muestran los documentos. GDS no abordó una pregunta sobre el presunto robo de credenciales de la red de la cámara o sobre las contraseñas.
La cantidad de credenciales de inicio de sesión para los sitios web de atención al cliente varió para diferentes clientes. Por ejemplo, había 201 cuentas en Alibaba, 99 en Amazon, 32 en Microsoft, 16 en Baidu, 15 en Bank of America, siete en Bank of China, cuatro en Apple y tres en Goldman, según los documentos. Yoo de Resecurity dijo que los piratas informáticos solo necesitan una dirección de correo electrónico y una contraseña válidas para acceder a la cuenta de una empresa en el portal de servicio al cliente.
Entre las otras empresas cuyos datos de inicio de sesión de los trabajadores se obtuvieron, según Resecurity y los documentos, fueron: Bharti Airtel en India, Bloomberg LP (propietario de Bloomberg News), ByteDance, Ford Motor, Globe Telecom en Filipinas, Mastercard, Morgan Stanley, Paypal Holdings, Porsche AG, SoftBank, Telstra Group en Australia, Tencent Holdings, Verizon Communications y Wells Fargo & Co.
En un comunicado, Baidu dijo: “No creemos que ningún dato se haya visto comprometido. Baidu presta gran atención para garantizar la seguridad de los datos de nuestros clientes. Seguiremos de cerca asuntos como este y permaneceremos alerta ante cualquier amenaza emergente a la seguridad de los datos en cualquier parte de nuestras operaciones”.
Un representante de Porsche dijo:”En este caso específico, tenemos ninguna indicación de que hubiera algún riesgo”. Un representante de SoftBank dijo que una subsidiaria china dejó de usar GDS el año pasado.”No se ha confirmado ninguna fuga de datos de información del cliente de la empresa local de China, ni ha habido ningún impacto en su negocio y servicios”, dijo el representante.
Un portavoz de Telstra dijo:”No sabemos de cualquier impacto en el negocio después de esta infracción”, mientras que un representante de Mastercard dijo: “Si bien continuamos monitoreando esta situación, no somos conscientes de ningún riesgo para nuestro negocio o impacto en nuestra red o sistemas de transacciones”.
Un representante de Tencent dijo:”No tenemos conocimiento de ningún impacto en el negocio después de esta infracción. Administramos nuestros servidores dentro de los centros de datos directamente, y los operadores de las instalaciones de los centros de datos no tienen acceso a los datos almacenados en los servidores de Tencent. No hemos descubierto ningún acceso no autorizado a nuestros sistemas y servidores de TI después de la investigación, que permanecen seguros y protegidos”.
Un portavoz de Wells Fargo dijo que usó GDS para respaldar la infraestructura de TI hasta diciembre de 2022.”GDS no no tiene acceso a los datos, sistemas o la red de Wells Fargo”, dijo la compañía. Todas las otras compañías se negaron a comentar o no respondieron.
Yoo de Resecurity dijo que en enero, el operativo encubierto de su firma presionó a los piratas informáticos para que demostraran si todavía tenían acceso a las cuentas. Los piratas informáticos proporcionaron capturas de pantalla que los mostraban iniciando sesión en cuentas de cinco empresas y navegando a diferentes páginas en los portales en línea GDS y STT GDC, dijo. Resecurity permitió que Bloomberg News revisara esas capturas de pantalla.
En GDS, los piratas informáticos accedieron a una cuenta del Sistema de Comercio de Divisas de China, un brazo del banco central de China que juega un papel clave en la economía de ese país, operando el la principal plataforma de comercio de divisas y deuda del gobierno, según las capturas de pantalla y Resecurity. La organización no respondió a los mensajes.
En STT GDC, los piratas informáticos accedieron a las cuentas de National Internet Exchange of India, una organización que conecta a los proveedores de Internet en todo el país, y a otras tres con sede en India: MyLink Services, Skymax Broadband Services y Logix InfoSecurity, muestran las capturas de pantalla.
Al contactarse con Bloomberg, el National Internet Exchange of India dijo que no estaba al tanto del incidente y se negó a hacer más comentarios. Ninguna de las otras organizaciones en la India respondió a las solicitudes de comentarios.
Cuando se le preguntó sobre la afirmación de que los piratas informáticos todavía estaban accediendo a las cuentas en enero utilizando las credenciales robadas, un representante de GDS dijo:”Recientemente, detectamos múltiples ataques nuevos de piratas informáticos que utilizan la información de acceso a la cuenta anterior. Hemos utilizado varias herramientas técnicas para bloquear estos ataques. Hasta ahora, no hemos encontrado ningún nuevo robo exitoso por parte de piratas informáticos que se deba a la vulnerabilidad de nuestro sistema”.
El representante de GDS agregó:”Como sabemos, un solo cliente no restableció una de las contraseñas de su cuenta para esta aplicación que pertenecía a un ex-empleado de ellos. Esa es la razón por la que recientemente forzamos un restablecimiento de contraseña para todos los usuarios. Creemos que este es un evento aislado. No es el resultado de que los piratas informáticos rompan nuestro sistema de seguridad”.
STT GDC dijo que recibió una notificación en enero de más amenazas a los portales de servicio al cliente en”nuestras regiones de India y Tailandia”.”Nuestras investigaciones hasta la fecha indican que no ha habido pérdida de datos ni impacto en ninguno de estos portales de servicio al cliente”, dijo la empresa.
A finales de enero, después de que GDS y STT GDC cambiaran las contraseñas de los clientes, Resecurity detectó a los piratas informáticos publicando las bases de datos para la venta en un foro de la web oscura, en inglés y chino, según Yoo.
“Las bases de datos contienen información del cliente, se pueden usar para phishing, acceso a gabinetes, monitoreo de pedidos y equipo, órdenes de manos remotas”, decía la publicación.”¿Quién puede ayudar con el phishing dirigido?”
© 2023 Bloomberg LP
Los enlaces de afiliados pueden generarse automáticamente; consulte nuestra declaración de ética para obtener más detalles.
Para obtener detalles de los últimos lanzamientos y noticias de Samsung, Xiaomi, Realme, OnePlus, Oppo y otras empresas en el Mobile World Congress de Barcelona, visita nuestro centro MWC 2023.