info@qualityfactory.cl

+569-91796571

+569-51264364

Riesgos TOP10 mas desastrosos

En InfoSec... Owasp TOP10 es una excelente referencia, pero el factor humano que se equivoca y/o se olvida de hacer lo correcto y  ocasiona las peores filtraciones de datos. Entonces cual es la solución?  Personal entrenado con Procesos simples y ordenados, mire y cotice nuestros cursos.

#1: A9: usar componentes con vulnerabilidades conocidas,  es el "ganador" que causa 12 de las 50 principales vulneraciones (24%). Los incidentes más notables causados ​​por A9 son:

_La violación de Mossack Fonesca (Panama Papers) , fue causada por una vulnerabilidad en una versión antigua y sin parches de Drupal.
_La violación de VericalScope / Techsupportforum.com en la cual 45 millones de contraseñas y direcciones IP fueron robadas de una red de más de 1,100 sitios web y foros. Se dijo que la causa era una vulnerabilidad conocida en una versión anterior del software del foro vBulletin.
_La violación de los foros de Ubuntu en la que se comprometieron 2 millones de nombres de usuario, direcciones IP y contraseñas de los foros oficiales de Ubuntu. La causa fue una "vulnerabilidad de inyección SQL conocida en el complemento Forumrunner que no se había parcheado".


Causa habitual:  9 de las 12 mayores infracciones A9, fueron causadas por vulnerabilidades en el software del foro, y 6 de ellas estaban usando una versión antigua del software vBulletin.


# 2: A5:  mala configuración de la seguridad es el segundo lugar con 10 de las 50 violaciones principales (20%). Un caso común de configuración incorrecta de la seguridad es dejar datos confidenciales en una base de datos con acceso a Internet abierto y que no requieren autenticación. Incumplimientos notables causados ​​por A5 son:

_La vulneración de los votantes mexicanos en la que se expusieron públicamente los datos de registro de 93.4 millones de votantes. La base de datos comprometida resultó ser una copia legítima de los datos de registro pertenecientes a un partido político, que lo habían cargado en AWS sin asegurarlos.
_La violación de Voters / Amazon / Google de EE. UU. En la cual 154 millones de perfiles de electores de EE. UU. Con detalles personales enriquecidos fue tomada por un hacker serbio. Los datos se almacenaron en una base de datos CouchDB que no requería autenticación, almacenada en Google Cloud Services.
_La violación de Capgemini en la cual la información personal de millones de solicitantes de empleo fue obtenida por un hacker. Los datos estaban en una base de datos insegura en la Internet abierta, que Capgemini dijo que estaba en un servidor de desarrollo utilizado por su proveedor de TI.


Causa habitual: aunque hay miles de posibles errores de configuración de seguridad que podrían conducir a una violación, el 100% de A5 en este estudio fueron causadas por una base de datos abierta a Internet sin autenticación. 3 de las 10 infracciones estaban relacionadas con la base de datos MongoDB, cuyas versiones anteriores usaban valores predeterminados inseguros .


# 3: A1: la inyección fue la tercera causa de incidentes importantes, responsable de cuatro infracciones:

_La Comisión Filipina de Elecciones, 77,736,795 registros, que representan a toda la población adulta de Filipinas (!) Se almacenan en texto plano y fácilmente obtenidos por un hacker a través de la inyección de SQL.
_La violación de i-Dressup , en la que 5,5 millones de cuentas de adolescentes, incluidas las contraseñas almacenadas en texto sin formato, se vio comprometida por una inyección de SQL que aprovechó una vulnerabilidad desconocida en el sitio web.
_La violación de la Michigan State University , en la que 400 hackers de 17 años de edad obtuvieron 400,000 nombres y direcciones de correo electrónico y escanearon la web en busca de vulnerabilidades de inyección de SQL. Afortunadamente, las contraseñas fueron encriptadas en este caso.
_The Central Ohio Urology Group, un atacante robó información de 521,659 pacientes por inyección de SQL, y dijo que atacaría de manera similar a otros sitios web.
Curiosamente, esta vulnerabilidad se consideró el problema de seguridad más crítico en el Top 10 de OWASP de 2013 y también se propone como la principal vulnerabilidad en el Top 10 de 2017, pero en nuestra encuesta aparece solo en el 3er lugar, lo que provoca el 8% de las violaciones más importantes.


Causa habitual:  las cuatro infracciones principales en el estudio fueron causadas específicamente por Inyección de SQL.


# 4: A-2 una débil autenticación y débil administración de sesiones, junto con  A-6 la exposición de datos sensibles fueron las siguientes causas principales, responsables de tres incidentes cada uno.

_A2 fue la causa de la violación de 17 Medios (30 millones de cuentas para una aplicación de transmisión), la violación de Aerticket (datos de 1.5 millones de pasajeros de líneas aéreas alemanas), y la violación de Kroger / Equifax (datos de impuestos y salarios de 431,000 personas que llenaron formularios de impuestos en línea).
_A6 fue la causa de la playa de Kerala (se violaron los datos personales de 34 millones de residentes del estado de Kerala en India), el incumplimiento del Instituto Indio de Administración (puntajes de 2 millones de participantes en el examen psicométrico CAT se expusieron en Internet), y el incumplimiento de BlueSnap / Regpack (324,000 registros de pago perdidos, incluidos los códigos CVV, lo que permite a los atacantes eludir la seguridad de las tarjetas de crédito).


Causa habitual: no hubo un patrón claro en estas 6 infracciones. Fueron causadas por contraseñas débiles, acceso fácil a datos confidenciales a través de datos conocidos, credenciales o URL, y exposición accidental de datos descifrados.


# 5 y  #6:

_A7-Missing Function Level Access Control fue responsable de dos incidentes: la infracción de ClixSense en la que los piratas informáticos obtuvieron el control de los servidores de alojamiento y pudieron obtener acceso a los sistemas de back-end sensibles, y la infracción de Tres en la que se robaron teléfonos físicos mediante la manipulación de un página web del operador.
_A4-Insecure Direct Object Reference fue responsable de un incidente: la enorme violación de Adult FriendFinder , que fue causada por una vulnerabilidad de inclusión de archivos locales (LFI).

 

fuente https://snyk.io/blog/owasp-top-10-breaches