CIBERSEGURIDAD

Incumplimiento de Estee Lauder: ¿Qué opinan los expertos?

0 165 4 minutos de lectura


Corin Imai, asesora senior de seguridad en DomainTools:

“Las operaciones de los ciberdelincuentes prosperan a partir del tipo de datos que esta base de datos dejó expuestos: la información de identificación personal sensible se puede vender en línea y explotar en todo tipo de campañas posteriores. Afortunadamente, los investigadores de seguridad señalaron rápidamente la mala configuración a la atención de Estee Lauder, quien rápidamente aseguró la base de datos.

Aunque no hay evidencia de que se hayan robado datos, las personas potencialmente afectadas deberían estar cansadas de cualquier correo electrónico que reciban que les solicite que restablezcan sus credenciales o que proporcionen algún tipo de autenticación. Desafortunadamente, a raíz de una violación de datos, los delincuentes a menudo aprovechan las circunstancias para planificar campañas destinadas a capitalizar a las víctimas de dicha violación. Esperarán un correo electrónico de advertencia de la organización que se vio comprometida y, por lo tanto, es más probable que crean un mensaje malicioso bien diseñado «.

Patrick Hunter, director de EMEA en Una identidad:

Una vez más, vemos una empresa basada en el consumidor en las noticias por su laxa seguridad. Son este tipo de empresas las que tienen más datos sobre nosotros, los compradores de sus productos. Cuando hay poca o ninguna seguridad en torno a nuestros datos, simplemente lo hacemos demasiado fácil para los piratas informáticos.

El advenimiento de la transformación digital está obligando a las empresas a trasladarse a la nube para seguir siendo relevantes y ágiles, o eso es lo que los analistas quieren hacernos creer. En realidad, todo el mundo necesita reducir costes y aumentar los márgenes. Sospecho que estas bases de datos, como la que descubrió el Sr. Fowler, son el resultado de actividades de «TI en la sombra». Aquellas en las que un departamento compra software fuera de su departamento de TI y sus procesos, evitando así las medidas de seguridad necesarias para mantener la seguridad de los datos. La seguridad por defecto y la seguridad por diseño son los dos principios básicos de la mayoría de las leyes de cumplimiento, y parecen haber sido olvidados aquí.

Oliver Pinson-Roxburgh, cofundador de A prueba de balas:

“Desafortunadamente, es común que las empresas sigan luchando con problemas muy básicos. A lo largo de 2019, nuestro equipo de pruebas de penetración realizó cientos de pruebas, incluidas pruebas de aplicaciones, infraestructura, API, dispositivos móviles e incluso de hardware.

Curiosamente, El 20% de las pruebas realizadas presentaron un problema de riesgo crítico. Definimos un riesgo crítico como «un problema que representa un riesgo inmediato y directo para una empresa». Por ejemplo, el uso de credenciales de administrador predeterminadas en un componente puede considerarse un riesgo crítico, ya que permitiría a los piratas informáticos obtener acceso a partes importantes de una infraestructura con privilegios de nivel de administrador.

El hecho de que una empresa del tamaño y el prestigio de Estee Lauder deje expuesta una base de datos tan sensible es sintomático del problema generalizado de las organizaciones que no logran comprender correctamente los conceptos básicos de seguridad. El otro problema es que muchas empresas están adoptando nuevas tecnologías con el supuesto de que son seguras desde el primer momento y, a menudo, no lo son. Esta es una tarea difícil, ante todo porque los entornos se están volviendo más complejos. El otro problema es que muchas empresas están adoptando nuevas tecnologías con el supuesto de que son seguras desde el primer momento y, a menudo, no lo son.

Con todo esto en mente, es poco probable que veamos desaparecer este problema. Con más esquemas de cumplimiento ganando popularidad (como Cyber ​​Essentials), adherirse a las mejores prácticas se está convirtiendo en una norma. En esencia, esto funciona mediante la introducción de un modelo que aplica las mejores prácticas que son más fáciles de lograr. Una vez que las empresas las gestionan, la expansión a otras se vuelve más factible «.

Erich Kron, defensor de la conciencia de seguridad en KnowBe4:

“Este es un ejemplo de cómo un simple error, como establecer permisos en una unidad compartida o una base de datos, puede tener consecuencias importantes. Esta es también una lección sobre cómo las grandes organizaciones pueden mejorar el proceso de informar rápidamente la exposición potencial de datos para resolver rápidamente el problema, especialmente en la era electrónica moderna, donde se pueden almacenar millones de registros en un solo lugar y se puede acceder a ellos desde casi en cualquier lugar del mundo. Doy crédito a Estee Lauder por resolver rápidamente el problema una vez que fueron informados, ya que muchas organizaciones se mueven demasiado lentamente en este sentido.

A medida que recopilamos más información digital sobre los clientes y compartimos esta información entre plataformas, especialmente en áreas que potencialmente están conectadas a Internet, es vital que las personas estén capacitadas en protección de datos y que las organizaciones trabajen hacia una cultura general orientada a la seguridad. A menudo, las organizaciones se encuentran en una situación en la que están recopilando o acumulando una gran cantidad de datos potencialmente confidenciales sin darse cuenta de las implicaciones hasta que es demasiado tarde. Esto puede resultar en un costo significativo en multas regulatorias, notificación y servicios de monitoreo de crédito y un impacto en la marca si se filtran o roban datos confidenciales «.

Martin Jartelius, CSO en Puesto 24:

“En la primera observación, esta violación se debe no solo a una falla en la seguridad, sino a una falta total de cualquier forma de protección. Nunca debería haber sido posible para nadie en Internet, especialmente sin autenticación, acceder a los datos almacenados en la base de datos. Para evitar este escenario, las empresas deben asegurarse de tener los procesos y controles de seguridad implementados para evaluar y recibir alertas de posibles errores de configuración de forma continua. A medida que crecen los conjuntos de datos, los datos almacenados son cada vez más valiosos para las empresas y, en algunos casos, incluso más valiosos que el dinero. Desafortunadamente, no todo el mundo lo protege como el activo valioso que es «.

Tim Erlin, vicepresidente de Tripwire:

“Las infracciones debidas a una configuración incorrecta no detectada parecen estar aumentando en prevalencia, generalmente relacionadas con el almacenamiento en la nube o una base de datos configurada incorrectamente. Estos son incidentes que se pueden prevenir y hay herramientas disponibles para detectar configuraciones incorrectas en empresas de cualquier tamaño.

Si bien su proceso para aceptar un informe de un incidente de datos podría necesitar algo de trabajo, Estee Lauder merece crédito por eliminar rápidamente el acceso mal configurado. «

Publicaciones relacionadas

El crecimiento de los delitos informáticos y la adopción de servicios de cifrado pueden salvar a Blackberry

Hackers turcos se apoderaron de una cuenta de Instagram del gobierno ruso

Pasos clave para proteger los datos corporativos confidenciales en Europa

Un tipo que intentó incriminarme en un complot de heroína se declara culpable de cargos de delito cibernético

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar