Una base de datos en la nube, mal configurada, expuso más de 800 millones de registros vinculados a usuarios de WordPress antes de que su propietario fuera notificado, según Website Planet.
El investigador de seguridad Jeremiah Fowler explicó que el proveedor de alojamiento estadounidense DreamHost dejó el tesoro en línea sin protección por contraseña.
Los 814 millones de registros que encontró fueron rastreados hasta el negocio de alojamiento gestionado de WordPress de la firma, DreamPress, y parecían remontarse a 2018.
En la base de datos de 86 GB, supuestamente había información de administradores y usuarios, incluidas las URL de ubicación de inicio de sesión de WordPress, nombres y apellidos, direcciones de correo electrónico, nombres de usuario, roles, direcciones IP de host, marcas de tiempo e información de configuración y seguridad.
Parte de la información filtrada estaba vinculada a usuarios con direcciones de correo electrónico .gov y .edu, afirmó Fowler.
Afortunadamente, la base de datos estaba segura a las pocas horas de que DreamHost recibiera un aviso de divulgación responsable por parte de Fowler.
Sin embargo, el investigador dijo que no estaba claro cuánto tiempo había estado expuesta, lo que podría poner a los usuarios en riesgo de phishing. Los actores de amenazas que buscan bases de datos expuestas como ésta también han robado y rescatado la información que contienen.
La complejidad de los modernos entornos en la nube hace que este tipo de desconfiguraciones sean cada vez más frecuentes.
Con información de: Info Security Magazine.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian