Computación
Descubren agujeros de seguridad en 39.890 bases de datos online
Por culpa de un software de base de datos de código abierto mal configurado sobre el que basan sus servicios millones de tiendas online y otras plataformas en internet de todo el mundo, se ha venido arrastrando un peligroso agujero de seguridad, ahora revelado. Si los operadores no modifican la configuración por defecto durante el proceso de instalación y no tienen en cuenta detalles cruciales, los datos quedan disponibles online, completamente desprotegidos. El centro CISPA, especializado en seguridad de la información, con sede en la ciudad alemana de Sarrebruck, donde se ha hecho el hallazgo, ya ha contactado al vendedor y a las autoridades competentes de protección de datos.
No es un fallo complejo, pero su efecto es desastroso, tal como comenta Michael Backes, profesor de seguridad de la información y criptografía en la Universidad de Sarre (Saarland) y director del CISPA. Backes fue contactado por Kai Greshake, Eric Petryka y Jens Heyens del citado centro a finales de enero. Heyens es un estudiante de ciberseguridad en la Universidad de Sarre, y sus dos compañeros estudiantes planean concentrarse en este tema durante el próximo semestre. El fallo que los tres jóvenes investigadores detectaron afecta a 39.890 bases de datos. El agujero de seguridad permite que sean accesibles online sin estar protegidas por ningún mecanismo de defensa. Se tienen incluso permisos para actualizar y cambiar datos. Los investigadores no tardaron en percatarse de que estas bases de datos no se dejaban abiertas a propósito. El vendedor de la base de datos es MongoDB Inc. Su base de datos MongoDB es una de las más ampliamente utilizadas en todo el mundo entre las de código abierto.
![[Img #25271]](upload/img/periodico/img_25271.jpg)
En los minutos posteriores a su hallazgo del primer caso, los investigadores detectaron asimismo el serio problema en muchas otras bases de datos. Incluso encontraron una base de datos de clientes que podría pertenecer a un proveedor de servicios de Internet y de teléfonos móviles francés. Esta base contenía las direcciones y números de teléfono de alrededor de ocho millones de clientes. Greshake, Petryka y Heyens detectaron también una base de datos no protegida de una tienda online alemana, incluyendo información de pagos.
Los investigadores del CISPA contactaron con MongoDB Inc. de forma inmediata, para que hiciera las oportunas correcciones, así como con las correspondientes autoridades nacionales e internacionales para que tomaran las medidas adecuadas de seguridad.
