Un pirata informático obtuvo acceso a los archivos y documentos internos de la empresa de seguridad y del emisor de certificados SSL Comodo mediante el uso de una dirección de correo electrónico y una contraseña expuestas por error en Internet.
Las credenciales se encontraron en un repositorio público de GitHub propiedad de un desarrollador de software Comodo. Con la dirección de correo electrónico y la contraseña en la mano, el pirata informático pudo iniciar sesión en los servicios en la nube alojados en Microsoft de la empresa. La cuenta no estaba protegida con autenticación de dos factores.
Jelle Ursem, una investigadora de seguridad con sede en Holanda que encontró las credenciales, se contactó con el vicepresidente de Comodo Rajaswi Das por WhatsApp para asegurar la cuenta. La contraseña fue revocada al día siguiente.
Ursem le dijo a TechCrunch que la cuenta le permitió acceder a los archivos y documentos internos de Comodo, incluidos los documentos de ventas y las hojas de cálculo en OneDrive de la empresa, y el gráfico de organización de la compañía en SharePoint, lo que le permite ver las biografías del equipo, la información de contacto, incluidos los números de teléfono y las direcciones de correo electrónico. , fotos, documentos del cliente, calendario, y más.
Una captura de pantalla de un calendario del personal en el sitio interno de Comodo. (Imagen: suministrada)
También compartió varias capturas de pantalla de carpetas que contienen acuerdos y contratos con varios clientes, con los nombres de los clientes en cada nombre de archivo, como hospitales y gobiernos estatales de EE. UU. Otros documentos parecían ser informes de vulnerabilidad de Comodo. Sin embargo, la revisión preliminar de los datos por parte de Ursem no reveló ninguna clave privada de los certificados de los clientes.
"Al ver que son una empresa de seguridad y entregar certificados SSL, uno pensaría que la seguridad de su propio entorno sería lo primero", dijo Ursem.
Pero según Ursem, no fue la primera persona en encontrar la dirección de correo electrónico y la contraseña expuestas.
"Esta cuenta ya ha sido pirateada por otra persona que ha estado enviando spam", dijo a TechCrunch. Compartió una captura de pantalla de un correo electrónico no deseado enviado con el fin de ofrecer reembolsos de impuestos del Ministerio de Finanzas francés.
Nos pusimos en contacto con Comodo para comentar antes de la publicación. Un portavoz dijo que la cuenta era una "cuenta automatizada utilizada para fines comerciales y transaccionales", y agregó: "Los datos a los que se accedió no fueron manipulados de ninguna manera y, a las pocas horas de haber sido notificados por el investigador, la cuenta se cerró".
Es el último ejemplo de contraseñas corporativas expuestas que se encuentran en los repositorios públicos de GitHub, donde los desarrolladores almacenan el código en línea. Con demasiada frecuencia, los desarrolladores cargan archivos inadvertidamente que contienen credenciales privadas utilizadas para pruebas internas. Investigadores como Ursem escanean regularmente los repositorios en busca de contraseñas y los reportan a las compañías, a menudo a cambio de recompensas por errores.
A principios de este año, Ursem encontró un conjunto igualmente expuesto de contraseñas internas de Asus en la cuenta pública de GitHub de un empleado. Uber también sufrió una infracción en 2016 después de que los piratas informáticos encontraran credenciales internas en GitHub.
