DELL HA SIDO VULNERADA: 49 millones de registros de clientes expuestos por un ataque automatizado

DELL HA SIDO VULNERADA: 49 millones de registros de clientes expuestos por un ataque automatizado

De acuerdo con la información obtenida mediante el Daily Dark Web Dell había sido vulnerada.

El reporte indicaba que un atacante afirmaba vender una base de datos de Dell que contenía 49 millones de registros de clientes. Estos registros de clientes cubrían la información de los sistemas comprados de entre 2017 y 2024, los datos tenían muchos detalles del cliente, incluyendo etiquetas de servicio, números de artículos, detalles de garantía, direcciones, números de teléfono y más información delicada.

Dell confirmo esta infracción y alerto a las víctimas alrededor del 10 de mayo del 2024.

 Mensaje importante sobre su información Dell

Hello,

Dell Technologies se toma en serio la privacidad y confidencialidad de su información. Actualmente estamos investigando un accidente que involucra un portal de Dell, que contiene un base de datos con tipos limitados de información de clientes relacionada con compras de Dell. Creemos que no representa un riesgo significativo para nuestros clientes dado el tipo de información involucrada

¿A qué datos se accedió?

En este momento nuestra investigación indica que se accedió a tipos limitados de información del cliente incluido:

  • Nombre del cliente
  • Dirección Física

Información sobre el pedido (hardware, etiqueta de servicio, descripción del artículo, fecha del pedido e información de garantía relacionada)

La información involucrada no incluye información financiera o de pago, dirección de correo electrónico, número de teléfono ni ninguna información altamente confidencial del cliente.

¿Qué está haciendo Dell al respecto?

Una vez que se identifico el incidente, se implementó rápidamente los procedimientos de respuesta a incidentes, se comenzó a investigar, se tomaron medidas para contener el incidente y se notifico a las autoridades. También se contrato una empresa de análisis forense externa para investigar este incidente el cual se sigue monitoreando.

¿Qué puedo hacer al respecto?

Nuestra investigación indica que se accedió a su información durante este incidente, pero no se cree que exista un riesgo significativo dada la limitada información afectada. En dado caso de percibir una actividad sospechosa relacionada con sus cuentas o compras en Dell debe informar a la brevedad.

Lo primero que se pensó fue que íbamos a presenciar una ola masiva de phishing, smishing y vishing utilizando estos datos como un gancho para caer en este tipo de ataques.

La persona que extrajo los datos compartió varias capturas de pantalla de correos electrónicos que había enviado Dell sobre la vulnerabilidad a los que no se respondió; esto fue confirmado por Dell.

El atacante registro varias cuentas en el portal como socio y todas ellas fueron aprobadas en un plazo de 48 horas. Una vez que fueron aprobadas estas cuentas, genero etiquetas de servicio aleatorias: son números de 7 dígitos y consonantes por lo que existe un patrón.

En la siguiente captura de pantalla pueden visualizar una muestra de los datos afectados. Se puede visualizar la etiqueta de servicio en la columna de la izquierda de los datos que se muestran:

La etiqueta de servicio de Dell es básicamente un numero de ID que se utiliza para ayudar a los clientes a rastrear información del producto; especificaciones técnicas, documentación y garantía. El sistema de soporte Dell identifica controladores, accesorios y componentes internos compatibles para su producto mediante este identificador de etiqueta de servicio.

El portal de socios permitió que cualquier nivel de socio accediera a esta información sin ninguna verificación de autorización sobre si el socio tenia permiso para acceder a la información del cliente especifico. El atacante envió alrededor de 5000 solicitudes por minuto a esta pagina durante el ataque. Lo que significaría al menos 3 semanas de ataque de fuerza bruta enviando 50 millones de solicitudes y capturo alrededor de 49 millones de registros de clientes. Luego del ataque envió correos electrónicos a Dell para revelar la vulnerabilidad algo que seria confirmado por Dell más tarde.

Justo en esta parte es donde los detalles de la información comienzan a tomar algunas incógnitas.

TechCrunch informo que Dell había enviado la notificación de infracción a algunos clientes cuyos detalles no forman parte de la base de datos de la infracción. Sin embargo, Dell afirma que ya estaban al tanto del incidente y estaban “Implementando nuestros procedimientos de respuesta y tomando medidas de contención” Esta información no tendría mucho sustento da la narración de eventos y el como sucedió todo.

Imagen referenciada OWASP

Esta infracción fue causada al menos por cuatro problemas en cuestión, siendo un problema de proceso y tres técnicos:

  • El problema relacionado con el proceso en sí es que la cuenta de socio se crea en 24 a 48 horas sin mucha verificación. Sin embargo, esto no es un problema si se solucionan los siguientes tres problemas técnicos.
  • El primer problema técnico es que cuando se crea una cuenta de socio, no se proporciona ningún derecho vinculado ni forma de autorización para permitir que ese socio busque y trabaje con etiquetas de servicio específicas. Esto es particularmente atroz ya que los datos no son solo detalles del hardware; proporcionan entre otras cosas, la dirección física del cliente.
  • El segundo problema técnico es la falta de protección contra la automatización. 5000 solicitudes por minuto durante 3 semanas desde una cuenta sin limite de tarifa. Incluso si se utilizan 5 cuentas, eso es 1000 solicitudes por minuto por cuenta.
  • El tercer problema, la falta de visibilidad y alertas. Los equipos de seguridad de TI no fueron alertados sobre este obvio comportamiento de ataque. Ya sea que no hubo registro ni alerta para las API detrás del portal o simplemente el acceso a datos es común por lo que no supero umbrales de alerta.

Por lo que parece, esta interfaz web tiene una API. Sin embargo, no se habilito ninguna autorización para los puntos finales, lo que permitió que cualquiera pudiera ver los datos y la información personal de cada cliente, no se implementaron limitaciones de velocidad para proteger el servidor de sobrecargas o filtración de datos. Existe una gran posibilidad de que los protectores de la aplicación no supieran que había una API detrás que debía protegerse (API Shadow); esto seria tanto una falla del proceso como una falla de seguridad técnica.

Algunas recomendaciones para evitar que este tipo de ataques sigan mermando a las instituciones u organizaciones serían las siguientes alternativas:

  • API Discovery con tecnología de aprendizaje automático utiliza datos de trafico en vivo para identificar puntos finales de API y luego activa automáticamente la protección para los puntos finales de API descubiertos.
  • Limitación de velocidad avanzada y Tarpits que pueden funcionar tanto en una configuración por IP como por dispositivo es muy útil cuando sus clientes se sientan detrás de una NAT y utilizan varios dispositivos.
  • Aplicación de autorizaciones hasta nivel de parámetros, con integraciones con certificados JWT y de Cliente. Esto incluye la capacidad de hacer cumplir VBAAC y ABAC.
  • Protección contra apropiación de cuentas impulsadas por Machine Learning con múltiples capas de protección, incluida la protección Credential Stuffing (para cuentas comprometidas) y protección de cuentas privilegiadas (para cuentas recientemente apropiadas).
  • Protección avanzada contra bots impulsada por Machine Learning que identifica y bloquea los bots mas avanzados, incluidos los scrapers.
  • Registros y alertas detallados, incluidas integraciones con soluciones SIEM/SOAR/XDR.

Nuestros servicios XDR
(eXtended visibility Detection Response):

XDR es un servicio de monitoreo que recolecta eventos de ciberseguridad de diferentes vectores de comunicación empresarial, las amenazas se correlacionan utilizando una plataforma de análisis inteligente y nuestro Centro de Operaciones 24x7 incluye personal calificado para reaccionar ante cualquier actividad sospechosa.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

 

JR

Regresar al blog