Compañía que ofrece soluciones de backup expuso base de datos con millones de direcciones de correo electrónico

Un nuevo incidente de seguridad relacionado a una mala configuración de una base de datos Mongo DB salió a la luz esta semana. Y por más irónico que parezca, la víctima en esta oportunidad se trata de Veeam, una compañía dedicada a ofrecer soluciones de backup, planes de recuperación ante desastres para entornos virtuales, y software para gestión de datos inteligentes de forma virtual, física y también en la nube.

El hallazgo fue dado a conocer por investigador Bob Diachenko, quien descubrió una base de datos de 200 GB abierta al público y sin contraseña durante al menos nueve días, que incluía una gran cantidad de información utilizada, aparentemente, por el equipo de marketing de la compañía.

Según el investigador, la base de datos contenía más de 445 millones de registros con información sobre nombre y apellido de clientes, direcciones de correo electrónico e IP, así como también detalles de las empresas, como la cantidad de empleados.

Luego de que tanto el investigador como el medio TechCrunch reportaran a la compañía el incidente, Veeam inhabilitó el acceso al público de la base de datos. Según dijo al medio tecnológico un vocero de la compañía, están realizando investigaciones sobre lo sucedido para tomar las acciones que correspondan.

Este no es el primer caso en el que una base de datos Mongo DB mal configurada queda abierta al público. El mes pasado el mismo investigador descubrió una situación similar en la que se dejaron expuestos datos personales de más de 2 millones de pacientes de México de una compañía de telemedicina.

Como dijimos en ese momento, a lo largo de los últimos años han sido reiterados los casos en los que atacantes se aprovecharon de usuarios que utilizaban bases de datos Mongo DB y por error dejaban la configuración por defecto, permitiendo que atacantes se aprovecharan de esta información para realizar campañas de extorsión. Es importante mencionar que, en 2017, Mongo DB dio a conocer cómo configurar sus bases de datos para evitar que este información privada quede expuesta en Internet y así prevenir ataques extorsivos.