Arriba: Ilustración de HernanHyper/DepositPhotos
Publicado originalmente en BusinessDay de Newsday del 9 de noviembre de 2023
La semana pasada fueron siete largos días. El 28 de octubre, me informaron sobre una posible violación de datos en TSTT que resultó en la publicación de datos de la empresa en la web oscura.
La web oscura es una subsección de la web profunda, las partes de Internet que no están indexadas por los motores de búsqueda. La web profunda es en gran medida contenido que se encuentra detrás de un muro de pago o requiere credenciales para acceder y ha sido bloqueado por los rastreadores web.
Se estima que la web profunda constituye hasta el 96 por ciento de la Internet activa. Se estima que la web oscura, que no está enteramente poblada de actividades ilícitas, representa alrededor del cinco por ciento del movimiento total de información y datos de Internet.
Como no hay índices, el acceso es difícil. Un visitante debe utilizar un navegador anónimo como Tor, que enruta las solicitudes de un sitio web oscuro a través de una serie de servicios proxy que hacen que el usuario sea tan anónimo como las páginas a las que intenta acceder.
El proceso es lento y es un recordatorio de lo lejos que ha llegado el mundo desde Mosaic y el módem de acceso telefónico.
Los sitios web más comunes y accesibles son los dominios de nivel superior .onion llamados cebollas (más información sobre cómo funciona la web oscura) aquí).
Facebook, por ejemplo, tiene una interfaz segura de acceso a la web profunda a través de una dirección cebolla.
¿Qué pasó la semana pasada?
Mi informe inicial se realizó el 28 de octubre después de ver la página de prueba publicada por RansomEXX, un grupo de ransomware que se atribuyó la responsabilidad de un hack en TSTT que resultó en la exfiltración de 6 GB de datos declarados.
El hackeo fue reportado en varios sitios web que rastrean violaciones de ciberseguridad global. Se accedió a la página mediante un enlace a un sitio web proporcionado por un investigador jamaicano de ciberseguridad, Gavin Dennis, con quien trabajé anteriormente en las violaciones de datos de ANSA McAl y Massy.
La página mostraba capturas de pantalla de los datos capturados en el hack y, después de la expiración del período de gracia del ransomware, incluía enlaces a los datos que había robado.
Las operaciones de ransomware son empresas que operan utilizando la intimidación, el miedo y las molestias para solicitar pagos.
Las empresas que han sido atacadas deben preocuparse por la divulgación de sus datos, por si aún quedan datos adicionales por revelar mientras trabajan para restaurarlos de forma segura y completa si deciden no pagar.
Debido a que los datos se pueden copiar infinitamente, nunca hay garantía de que el pago del rescate conduzca a la destrucción segura de los datos capturados. Confiar en la palabra de los delincuentes, incluso de los delincuentes que dirigen un negocio, nunca es una buena idea.
TSTT fue una víctima de esto. Si bien la compañía no ha revelado cómo se logró el acceso a sus datos, hay varias formas en que se pueden estafar las credenciales de los miembros del personal mediante elaborados esquemas de phishing. El software crítico que no se actualiza con la suficiente rapidez es otro vector de ataque.
El ransomware es un juego de paciencia. El acceso de bajo nivel normalmente se intensifica constantemente en los sistemas comprometidos hasta que se encuentran y copian los datos deseables. Sólo entonces se hace la demanda de rescate (Cómo ocurren los ataques de ransomware).
TSTT reconoció que estaba al tanto de la violación el 9 de octubre, pero no dijo nada hasta después de que se conoció la historia del vertedero el 28 de octubre.
Un sello distintivo de las respuestas de la compañía al incidente ha sido la eficiencia con la que ha trabajado para convertirse en el villano del asunto, agotando cualquier inclinación pública a sentir empatía y simpatía por el ataque inicial y lo que costó responder.
Sus declaraciones han sido menos comunicación corporativa que hábil jerga legal, eludiendo lo que públicamente se conoció como información publicada en dos declaraciones el 30 de octubre y el 3 de noviembre.
TSTT reconoció sólo lo que se le había echado en cara en esas declaraciones, sin ofrecer ninguna información más allá de lo que se llamó la atención del público como hechos, mientras negaba cualquier cosa que surgiera de una especulación informada.
El 30 de octubre, la empresa declaró: “No hubo pérdida ni compromiso de los datos de los clientes, no se eliminaron ni manipularon datos de las bases de datos de TSTT. En este momento, la empresa no ha corroborado los datos que actualmente son de dominio público y que supuestamente son información del cliente de TSTT”.
En esa declaración está implícita la noción de que la empresa estaba al tanto del volcado de datos pero no lo había inspeccionado.
Apenas cuatro días después, la empresa adoptó una nueva posición y se disculpó con “aquellos clientes a cuya información accedieron estos ciberterroristas”.
El ministro de línea de la compañía estatal, Marvin Gonzales, reconociendo que había sido engañado deliberadamente, se retractó rápidamente de sus firmes declaraciones de negación sobre la violación de datos, que declaró falsas en una declaración leída en el Hansard del Parlamento.
Ahora exige una investigación independiente sobre la infracción.
¿Qué hay en el volcado de datos?
TSTT buscó posicionar la violación de datos de 6 GB frente a los terabytes de datos que administra todos los días, pero lo que realmente importa es qué datos se extrajeron por la fuerza de la empresa en la violación de ciberseguridad.
Aquí tienes una idea de lo que contienen algunos de los archivos. Un archivo de identificación, que enumera información de identificación del cliente, tiene 377,164 registros, un archivo de contactos tiene 800,977 registros, un archivo con identificaciones y contraseñas de empleados enumera 158,032 registros y un archivo de clientes de base de datos Oracle incluye 4,293,368 registros.
Un registro es una entrada única para un cliente, que registra datos sobre él, que pueden incluir información personal, clasificación interna del valor del cliente e historial de pagos.
Los archivos más grandes no se pueden abrir con herramientas como Excel, que sólo abrió 1,5 millones de registros del archivo de la base de datos de clientes de Oracle y destrozó la estructura de datos al hacerlo.
Al acceder mediante el software adecuado, ese archivo de grandes clientes revelará más claramente los datos capturados por la empresa sobre cada uno de los clientes que enumera. En una entrada para mí como cliente de TSTT, aparece mi número de cuenta bancaria.
En la base de datos se pueden encontrar listados similares de muchos ciudadanos destacados.
Shiva Parasram, consultora de riesgos empresariales y directora del Instituto de Seguridad e Informática Forense, que ha estado investigando el volcado de datos, encontró entradas para Penelope Beckles, Kamla Persad-Bissessar, Keith Rowley, Timothy Hamel-Smith, Jairam Seemungal, Lyndira Oudit, Wade Mark, Colm Imbert, Amery Browne y otros parlamentarios notables.
Ante evaluaciones más amplias de este aspecto de la violación, TSTT declaró en su declaración del 3 de noviembre: «Ya se puede acceder fácilmente a parte de la información a través de las páginas blancas del directorio telefónico».
Si bien esta es una idea reconfortante, evita por completo el hecho de que los datos de una guía telefónica se congelan en la página impresa, mientras que una base de datos activa puede extraerse información, correlacionarse con información de otras bases de datos y usarse para crear perfiles más detallados de los registros encontrados. allá.
La sugerencia de la empresa de que es poco lo que un delincuente puede hacer con la información del vertedero público está peligrosamente fuera de lugar.
¿Cuál es el impacto de la presencia pública de esta información?
TSTT no está obligado por ninguna ley proclamada a dar más información sobre este incidente de la que ha ofrecido hasta la fecha.
Quizás responda más claramente a las exigencias de una investigación del Ministro de Servicios Públicos después de haberle desinformado hasta tal punto que mintió en el Parlamento.
Rishi Maharaj, gerente certificado de privacidad de la información y propietario de Privicy Advisory Services, expresó su gran preocupación sobre los aspectos de protección de datos del incidente.
«El retraso en la divulgación y la aparente contradicción entre sus afirmaciones y las pruebas presentadas por los piratas informáticos es alarmante», dijo Maharaj en un comunicado el 31 de octubre.
“La naturaleza de los datos involucrados, especialmente los escaneos de identificación, plantea un riesgo significativo. El énfasis de TSTT en las grandes cantidades de datos que manejan podría ser un intento de restar importancia a la gravedad de la violación, pero desde el punto de vista de la protección de datos, lo que cuenta no es el volumen sino la sensibilidad y relevancia de los datos”.
A Parasram le preocupa que la respuesta de TSTT pueda provocar más filtraciones de datos de RansomEXX si tienen datos adicionales.
También expresó su preocupación por las respuestas globales más amplias, particularmente del Reglamento General de Protección de Datos (GDPR) de la UE, que monitorea los datos manejados por las empresas para los ciudadanos de la UE como parte de su alcance.
“Si tienen información de clientes (de cualquier persona en) la UE en este momento o (de alguien) que esté sujeto al GDPR de la UE, cuando la UE se entere de esto y hagan sus propias investigaciones y lo analicen, podría haber multas por esto. ”, dijo Parasram. «Y esas multas no son nada mínimas».
Los clientes, señaló Parasram, básicamente no pueden hacer nada al respecto. TSTT ha defendido firmemente la seguridad de su centro de datos, un negocio principal, pero no ha aclarado si almacena los datos de su propia empresa en ese centro de datos o si la violación se produjo en servidores ubicados en ese centro de datos.
Al cerrar su comunicado de prensa del 3 de noviembre, TSTT instó al público a «ejercer discernimiento en la información que consumen, asegurándose de recibirla de fuentes creíbles y acreditadas para tomar decisiones bien informadas».
A partir de sus enormes variaciones en la divulgación a lo largo de una sola semana, en gran parte impuestas a la empresa por divulgaciones públicas de hechos materiales, y su voluntad de engañar a su ministro de línea, no está claro si TSTT está adecuadamente calificado para cumplir con los requisitos para ser tal. una fuente.