Algo está fallando en la manera que se trata la enorme cantidad de datos que generan las apps móviles empresariales, y más específicamente en cómo se almacenan esos datos en servidores back-end, según afirma un nuevo estudio.
En marzo, una empresa llamada Appthority ideó un sistema para escanear estos servidores automáticamente, una técnica similar a la de buscar fugas de agua en una presa gigante.
La búsqueda reveló terabytes de información potencialmente expuesta en MongoDB, MySQL, CouchDB, Redis y Couchbase antes de adentrarse en la popular herramienta empresarial de búsqueda Elasticsearch para valorar la magnitud del problema.
Los resultados son que encontraron 43TB de datos que se habían dejado expuestos, generados por 1.000 apps en 21.000 servidores.
Debido a esta gran cantidad de datos, decidieron centrar su análisis en Elasticsearch empleando dos métodos. Uno consistía en escanear Internet en busca de servidores de Elasticsearch con datos expuestos e intentar averiguar de que apps procedían esos datos.
El segundo realizaba el análisis desde el punto de vista de las apps centrando la investigación en apps que almacenaran datos en servidores sin tomar las medidas oportuna de seguridad.
No está claro lo que significa “expuestos” en este contexto concreto, pero un análisis de un subgrupo de 39 apps descubrió que estas habían filtrado 163GB de información que contenían 280 millones de registros, que incluían información personal y datos empresariales sensibles.
Las apps pertenecían a distintos sectores como el acceso empresarial móvil, agricultura, educación, productividad e, inevitablemente, citas y juegos.
En muchos casos, los datos expuestos parece que habían sido encontrados y secuestrados por atacantes. Una empresa incluso no contestó a Appthority pese a que sus datos todavía estaban expuestos cuando publicaron el informe.
Hasta ahora, la seguridad en dispositivos móviles se centraba en blindar los dispositivos, buscar vulnerabilidades en apps y limitar los privilegios del usuario. Pero los servidores no seguros son una puerta trasera distinta para acceder a la información de la que posiblemente las empresas no tenían consciencia.
Appthority llama a este problema HospitalGown (bata de hospital), una metáfora inspirada en cómo esta prenda tapa por delante pero deja al descubierto la espalda del paciente.
Si las arquitecturas del big data móvil están realmente fallando, tendremos una nueva ola de filtraciones de datos y ransomware de la que se sorprenderá mucha gente.
Excepto obviamente, los cibercriminales que ya están atacando este tipo de bases de datos, como hemos visto en el reciente ataque a los servidores de MongoDB.
Si HospitalGown subraya algo, es que las empresas deben temer la nueva ley europea de protección de datos (GDPR), que impondrá importantes multas a las empresas que sufran grandes filtraciones de datos. Si eso ocurre, los ataques de ransomware pueden que sea solo el principio de la pesadilla.