¿Cómo comenzó todo?
En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante) llegó a un acuerdo de mantenimiento de equipos informáticos para gestionar sus bases de datos y redes con IBM Suecia.La STA subió su base de datos completa a servidores en la nube de IBM, la cual contenía detalles sobre todos los vehículos del país incluyendo aquellos correspondientes a la policía, registros militares e incluso testigos protegidos.
Y fue esa misma base de datos es la que la agencia de transportes envió a vendedores suscritos, y además en texto plano, sin cifrar. Al descubrirse el error, la agencia de transportes simplemente envió un nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base de datos completa que ellos mismos habían mandado anteriormente.
Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA sin pasar por medidas de seguridad necesarias. Los administradores de IBM en la República Checa tenían acceso a todos los datos y registros, mientras que otra empresa en Serbia administraba las comunicaciones.
Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien hizo público el escándalo, los datos incluidos en esta filtración incluyen:
- Capacidad de todas las carreteras y puentes.
- Nombres, fotos y direcciones de pilotos de combate de las fuerzas aéreas..
- Nombres, fotos y direcciones de todos los incluidos en el registro policial, los cuales se creían datos clasificados.
- Nombres, fotos y direcciones de todos los operadores de las unidades de élite del país, el equivalente a los Navy SEAL.
- Nombres, fotos, y direcciones de todos los testigos protegidos.
- Tipo, módelo, tamaño, e incluso defectos en todos los vehículos militares, incluyendo sus operadores.
Lo más preocupante: La base de datos no será segura hasta este otoño, según palabras del nuevo director general Jonas Bjelfvenstam.
Más información:
http://bit.ly/2tVTw8c
Fernando Díaz
fdiaz@hispasec.com
☛ El artículo completo original de noreply@blogger.com (Fernando Díaz) lo puedes ver aquí
No hay comentarios.:
Publicar un comentario