Home Sociedad Scotiabank expuso el código fuente y las credenciales en los repositorios de...

Scotiabank expuso el código fuente y las credenciales en los repositorios de GitHub

Durante meses, en algunos casos, el gigante bancario canadiense Scotiabank almacenó propiedad digital de alta sensibilidad en una serie de repositorios GitHub abiertos y accesibles al público, exponiendo potencialmente su código fuente interno, sus credenciales de acceso y sus claves de acceso.

La institución financiera hizo que los repositorios fueran “derribados” a principios de esta semana después de haber sido alertados del error, según The Register, que fue el primero en informar sobre la situación. Los repositorios contenían cientos de archivos, algunos de los cuales contenían código que parece estar destinado a aplicaciones móviles para usuarios de Centro y Sudamérica.

Parte del código se utilizó para integrar los sistemas bancarios con los servicios de pago ofrecidos por Samsung, Google Pay, Visa, Mastercard y otros. El código adicional se muestra en una captura de pantalla proporcionada por The Register muestra la programación de un sistema de tablero de pagos digitales.

Además del código, los activos digitales expuestos incluían claves de acceso para una base de datos SQL Server de tipos de cambio y credenciales de inicio de sesión para servicios e instancias de base de datos.

El Registro se enteró de los errores de configuración a través del experto en tecnología y seguridad con sede en Toronto, Jason Coulls, oficial superior de tecnología de SquareCrop y fundador de Coulls Informatics Corp. “Sabiendo que hay un potencial conocido para que alguien modifique los datos de la tasa de cambio de divisas, la integridad del banco se ve disminuida en consecuencia”, dijo Coulls a The Register en una entrevista.

“La información que identificamos y que fue publicada en un repositorio de datos en línea no contiene información que pueda poner en riesgo a nuestros clientes, empleados y socios”, dijo un portavoz de Scotiabank, en respuesta a una consulta de SC Media. “Nuestros equipos técnicos están trabajando para eliminar la información.”

Coulls calificó la filtración de datos de “seguridad de grado muppet” por parte de Scotiabank, que presta servicios a más de 25 millones de clientes y emplea a más de 97,000 personas. “Me siento como si hubiera educado a toda una nueva población en la forma en que los británicos usan la palabra’marioneta'”, dijo Coulls, quien es originario del Reino Unido, más tarde en un tweet.

También en Twitter, Coulls dijo que permitió que The Register informara a Scotiabank sobre el problema, en lugar de ocuparse él mismo del mismo, para asegurarse de que el público y los socios del banco tomaran conciencia del error. También admitió tener una “historia” no especificada con el banco como cliente.

“Los repositorios de código público, varios proyectos de código y de intercambio de datos pueden facilitar enormemente DevSecOps y acelerar el desarrollo de software ágil. Sin embargo, también traen consigo un amplio espectro de riesgos empresariales críticos de fugas de datos involuntarias o descuidadas, exacerbados por desarrolladores de terceros con insuficiente formación en seguridad”, dijo Ilia Kolochenko, fundadora y directora ejecutiva de ImmuniWeb.

“Los ciberdelincuentes son muy conscientes de la situación y están continuamente rastreando fuentes de datos accesibles al público para obtener código fuente sensible, credenciales de código duro y claves de API… Las grandes empresas necesitan diseñar cuidadosamente una política de desarrollo de software segura, y aplicarla y controlarla adecuadamente. La formación regular en seguridad para los desarrolladores debería ser una parte esencial de la política”, agregó.