En abril de este año, un almacén de datos de logs y métricas de rendimiento que usamos en el pasado para ayudarnos a explorar el impacto de potenciales nuevas mejoras de DreamPress, inadvertidamente se hizo visible al público debido a una mala configuración automatizada en una regla del firewall.
En total, 21 sitios web fueron afectados.
Esta base de datos fue accesible desde afuera de nuestra red por aproximadamente 12 horas durante una ventana activa de mantenimiento. Durante este tiempo fue accedida por un solo usuario de internet — un investigador de seguridad de sombrero blanco — quien había estado escaneando nuestro espacio de IP. Nos alertó de su descubrimiento cuando estábamos en el proceso de desactivarlo; y estamos agradecidos por el trabajo que él y otros investigadores realizan cada día.
Errores que Cometimos
- Una base de datos de logs fue usada para almacenar datos de prueba relacionados con el desarrollo de funcionalidades.
- Esta base de datos no estaba configurada de forma apropiada para autenticación.
- Un problema de configuración de firewall hizo que esta base de datos estuviera temporalmente accesible fuera de nuestra red.
Solución
- Corregimos los problemas de configuración que resultaron de la accesibilidad externa.
- Eliminamos datos de prueba obsoletos.
- Los dueños de los 21 sitios web impactados fueron contactados.
Elementos de Acción
- Auditorías continuas de todos los sistemas de control de acceso internos.
- Evaluar y refinar todos los procesos de configuración e implementación y su documentación.
Impacto en Nuestros Clientes
A pesar de los encabezados sensacionales que este evento ha generado, los metadatos pertenecientes a los 21 clientes actuales y antiguos de sitios web de DreamPress en DreamHost, fueron accedidos rápidamente por el investigador de seguridad. Cada uno de estos clientes ha sido contactado.
Mientras que es verdad que la base de datos de 85GB consistía de más de 800 millones de registros, ninguno de esos registros contenía datos que podrían haber permitido el acceso a cuentas de DreamHost. Consisten completamente de entradas que incluyen registros de actualización de objeto, reportes de errores y entradas de log.
Contenido de la Base de Datos
Esta base de datos no contenía Información Personal de Identificación (Personally Identifying Information-PII) de los clientes de DreamHost bajo la definición de una variedad de estatutos en las jurisdicciones bajo las que operamos, ni contenía contraseñas de usuarios (encriptadas o de otra índole). Si contenía direcciones de correo electrónico y nombres visibles de usuarios registrados en WordPress a través de estos 21 sitios web. Ya que esta base de datos fue usada para medir el rendimiento de DreamPress, también incluía las listas de los plugins y temas instalados de WordPress.
También dentro de la base de datos había una cantidad abrumadora de cuentas de spam aparentemente creadas con herramientas automáticas. Aproximadamente 4855 direcciones de correo aparecieron en esta base de datos, de las cuales 4339 estaban ligadas a cuentas de spam de un único sitio con una política de registro abierta. La mayoría no parecen ser legítimas.
¿Mi Información Está a Salvo?
De nuevo, mientras que estuvo disponible al público, nuestros registros muestran que esta base de datos fue accedida por un solo usuario de internet — un investigador de seguridad en solitario, que reveló su descubrimiento a nosotros de forma responsable. La evidencia muestra que no hubo ningún acceso no autorizado adicional a esta base de datos.
Siguientes Pasos
El sistema administrativo que desconfiguró los controles de acceso de esta base de datos, fue modificado inmediatamente después de que la aseguramos en abril. Todos los datos pertenecientes a los antes mencionados 21 sitios fueron igualmente removidos en ese momento.
No esperamos que el conjunto único de circunstancias técnicas que causó este evento ocurran de nuevo, y los cambios que realizamos aseguran que no será así. En adición a nuestro monitoreo en marcha de brechas y configuración, continuamos una auditoría completa de todos los sistemas internos, incluyendo nuestros procesos y la documentación que rodea a estos sistemas.
Le damos un alto nivel de importancia a proteger la información de nuestros clientes. Nuestros clientes confían que vamos a respetar sus datos y su derecho de compartirlos en línea a su disposición, y siempre pondremos la más alta prioridad en asegurar que esos derechos sean respetados.
Cronología de los Eventos
Abril 16
- La regla de control de acceso es modificada a través de software, la base de datos se vuelve accesible externamente.
- El investigador de seguridad nos contacta.
- El problema de acceso de la base de datos es identificado y resuelto.
- La revisión de log confirma que el único en acceder fue el investigador.
- Departamento Legal comienza la revisión para determinar el alcance del suceso.
Abril 20
- El Departamento Legal concluye la investigación/revisión interna.
Abril 22
- El Equipo de Seguridad le responde al investigador para agradecerle por su reporte.
Abril 23
- El investigador confirma que no “descargó o extrajo ninguna información de los logs” y solo tomó capturas de pantalla.
Mayo 4
- El investigador le responde al Equipo de Seguridad, ofreciendo su ayuda en caso de ser necesario.
- El Equipo de Seguridad le responde para confirmar que la regla de firewall fue corregida el mismo día de su reporte.
Junio 24
- El investigador lanza esta información al público.