Saltar al contenido

Violación de datos de Ameriprise

03/11/2020

Esto es lo que sabemos: los datos provenían de un dispositivo de almacenamiento conectado a la red configurado de manera insegura sin nombre de usuario o contraseña necesarios para acceder. Este dispositivo específico con fugas no estaba en la red interna de Ameriprise, ya que estaba ubicado físicamente dentro de la casa de un empleado de Ameriprise. Pero entonces, ¿cómo recibió y almacenó datos internos de Ameriprise sin cifrar? Ese es el misterio.

Resulta que existe un dispositivo NAS idéntico dentro de la oficina satélite de Ameriprise de este empleado y, de alguna manera, los dispositivos se sincronizaban entre sí a través de Internet abierto. Lo encontré a través de una revisión aleatoria de los resultados de rsync de Shodan.io.

Por precaución, Ameriprise ha retirado ambos dispositivos y los examinará en un laboratorio de TI interno.

A través del periodista Zack Whittaker, de CNET / ZDNET / CBS, escuché que Ameriprise afirma que la compañía no suministra estos dispositivos a sus oficinas. Esto puede estar en desacuerdo con lo que me dijo el asesor financiero afectado en cuestión. Me informaron que la razón por la que tenía uno de los dispositivos en su casa era porque es exactamente el mismo modelo de dispositivo que usan en su oficina.

Ahora, eso no significa necesariamente que Ameriprise implementó específicamente o incluso autorizó el uso de ese dispositivo dentro de la oficina del asesor. Sin embargo, un empleado de Ameriprise me indicó que tirar y examinar los dispositivos era, en parte, para asegurarse de que no hubiera un problema mayor del que preocuparse. Para mí, eso dice que hay al menos cierta preocupación de que haya más de estos dispositivos en las oficinas de Ameriprise. Eso no quiere decir que haya alguna razón para pensar que más pueden estar mal configurados de la misma manera, pero al menos vale la pena considerarlo como una posibilidad.

Cuando Zack Wittaker preguntó cómo Ameriprise protege los dispositivos NAS que sus oficinas pueden estar usando, el personal de relaciones públicas de Ameriprise respondió: «Ofrecemos una solución segura de almacenamiento en línea para esta información».

Me parece extraño, entonces, que dentro de los datos filtrados haya un Plan de Continuidad del Negocio (BCP) confidencial, con fecha del 4 de febrero de 2015, en el que Ameriprise pregunta a sus asesores «¿Mantiene los registros de su computadora de respaldo (es decir, disco duro, dispositivo de memoria, etc.) en una ubicación que no sea su oficina?», a lo que las posibles respuestas son «Si», «No»y «N / A – (seleccione esta opción si está utilizando una solución en línea)».

¿Por qué existiría esa pregunta si Ameriprise solo proporciona una solución segura de almacenamiento en línea?

La documentación adicional de seguridad y cumplimiento dentro de los archivos filtrados hace muchas referencias a la protección física de unidades flash y discos duros externos, por lo que Ameriprise debe saber que este tipo de dispositivos existen realmente dentro de sus oficinas. Eso es esencialmente lo que es un dispositivo de almacenamiento conectado a la red: uno o más discos duros externos conectados a una red informática, generalmente con el único propósito de almacenar datos y realizar copias de seguridad.

La pregunta más importante, que probablemente nunca será respondida, es si pude haber usado alguna de las credenciales recopiladas para obtener acceso a la red interna de Ameriprise. Hacerlo sería una clara violación de la Ley de Abuso y Fraude Informático, lo que hace que incluso intentarlo esté fuera de mi alcance y de mis esfuerzos de investigación.

Una vía que podría haber seguido un verdadero pirata informático sería descifrar los archivos de respaldo del administrador de contraseñas contenidos en el tesoro de datos. El asesor financiero utiliza 1Password para administrar sus credenciales web. Esto significa que se incluyeron versiones hash de todas sus contraseñas. Solo se necesitaría descifrar una “contraseña maestra” y luego todas estarán disponibles en texto sin formato. Incluso se incluyó un archivo de sugerencia de contraseña relacionado con esta contraseña maestra. Teniendo en cuenta lo que hay en el archivo de sugerencias, estoy bastante seguro de que la contraseña maestra podría descifrarse.

Si es cliente de Ameriprise y recibió una carta de notificación sobre este evento, me encantaría ver una copia. Todavía quedan muchas preguntas por responder y espero que a los clientes afectados se les proporcione una descripción detallada y precisa de lo que sucedió. Ameriprise es un gran nombre y deberían poner el listón alto con un informe detallado de cómo sucedió esto.

***

Atención: partes de este artículo pueden utilizarse para publicación si se hace referencia a ellas y se da crédito a Tecnologar Investigador de seguridad, Chris Vickery.