Código fuente y credenciales de un banco fueron encontradas en Github

Hace un par de días, el investigador Jason Coulls, denunció haber encontrado carpetas de datos con información altamente sensible perteneciente a los proyectos del equipo de Scotiabank en la plataforma de Github.

Github es un plataforma social de desarrollo muy utilizada en la actualidad, que brinda distintas facilidades a la hora de compartir proyectos entre desarrolladores. Esta plataforma tuvo tanto crecimiento y éxito en los últimos años que fue adquirida por Microsoft el año pasado.

El investigador encontró una carpeta utilizada por el equipo de desarrollo pero le llamó la atención que esta no se encontraba configurada con restricciones de privacidad. Por el contrario, el código estaba expuesto y gran parte de este podría ayudar a terceros a entender la lógica del funcionamiento del software utilizado para sacar provecho de este.

Lo que causo más sorpresa aún, es que dentro del código fuente se encontraban también credenciales de acceso a partes de infraestructura en la nube, utilizada por la empresa.

El código al que muchas personas tuvieron acceso, integraba servicios de pago como Samsung y Google Play y procesadores de tarjetas de crédito como Visa, Mastercard y otros.

 

Citando al investigador:

“Estos repositorios presentaban, entre otras cosas, planos de software y claves de acceso para un sistema de tasa de cambio, código de aplicación móvil y credenciales de inicio de sesión para servicios e instancias de bases de datos”. Describe los archivos como “una potencial mina de oro de vulnerabilidades para que los delincuentes y hackers los exploten”.

“Entre los cientos de archivos de documentación y código, que parecen haber sido creados por desarrolladores que trabajan en versiones de las aplicaciones móviles de Scotiabank para América Central y del Sur, había credenciales y claves para acceder a algunos de los sistemas y servicios de back-end del banco repartidos por todo el mundo. Entre los planos más sensibles estaba el código y los detalles de inicio de sesión para lo que parecía ser un sistema de base de datos SQL de tipos de cambio”, dijo Coulls.

Es totalmente correcto y normal utilizar este tipo de plataformas para llevar a cabo proyectos de desarrollo, sobretodo cuando los equipos se encuentran en distintas partes del planeta y es necesario de alguna plataforma que pueda gestionar no solo el código en si, sino sus cambios, versiones, documentación e interacción entre sus desarrolladores.

Lo que no es correcto es dejar por defecto opciones de privacidad y seguridad que siempre deben ser vistas y analizadas con frecuencia. En este caso, los repositorios se encontraron abiertos al público y se convirtió en una bomba de tiempo.

Si se preguntan si hay gente buscando constantemente o se encuentran a la caza de este tipo de información, pues no estarían muy lejos de la realidad. Pero lo cierto es que este tipo de búsquedas se realiza ya de forma automatizada, de tal forma que si Ud. comete un error y está en la mira de algún grupo cibercriminal, se darán cuenta antes que su equipo.

Lo mencionado en el párrafo anterior no solo aplica a Github, sino a las distintas plataformas que hoy en día se utilizan en la nube para proyectos compartidos. Hablamos desde tableros de Trello, hasta repositorios de notas como Pastebin.

Este tipo de comportamiento suele ser usual debido a que los equipos de desarrollo o incluso de TI no tienen una debida capacitación o sensibilización en ciberseguridad y amenazas que se encuentran latentes hoy en día. Por esto es tan importante un plan de capacitación anual en ciberseguridad.

Empresas grandes y organizaciones deben ser conscientes de que es necesario desarrollar una política de ciberseguridad, tener un plan director de ciberseguridad, un plan de capacitación y por supuesto una política de desarrollo de software en forma segura. Todo debe ser aplicado y monitorizado en el tiempo para ir haciendo mejoras al modelo.

Así que ya saben, a mantenerse ciberseguros!

 

 
Comments are closed.