Una brecha de seguridad deja expuestos los datos de más de 150.000 usuarios de la empresa española 8Belts
El fallo ha desprotegido información privada de usuarios particulares y de empleados de varias grandes empresas, según una investigación
Una configuración errónea de los servicios de almacenamiento en la nube de la empresa de aprendizaje de idiomas 8Belts ha dejado expuestos por un periodo aún sin determinar los datos de más de 150.000 usuarios de todo el mundo, según una investigación de vpnMentor a la que ha tenido acceso EL PAÍS. Esta empresa de ciberseguridad israelí asegura que entre los datos expuestos hay información privada como nombres, direcciones de email, núme...
Una configuración errónea de los servicios de almacenamiento en la nube de la empresa de aprendizaje de idiomas 8Belts ha dejado expuestos por un periodo aún sin determinar los datos de más de 150.000 usuarios de todo el mundo, según una investigación de vpnMentor a la que ha tenido acceso EL PAÍS. Esta empresa de ciberseguridad israelí asegura que entre los datos expuestos hay información privada como nombres, direcciones de email, números de teléfono, fechas de nacimiento, DNIs, lugares de residencia y nombres de usuario de Skype. Además de usuarios particulares, en las listas también aparece información personal identificativa de sus clientes corporativos. Este periódico se puso en contacto el pasado miércoles con 8Belts, que ha afirmado estar investigando lo ocurrido y por el momento ha descartado hacer más declaraciones al respecto.
La compañía española 8Belts fue fundada en 2011 y ofrece a usuarios hispanohablantes cursos en línea para aprender idiomas. Afirma tener “el único método a nivel mundial que garantiza hablar inglés, francés, alemán y chino en ocho meses”. Entre sus clientes, hay compañías como BBVA, Acciona, Huawei, Telefónica, Inditex, Banco Santander, Ogilvy, Iberdrola y el Real Madrid. Así lo indica en su web, donde también señala que el proyecto ha sido cofinanciado por el Ministerio de Energía, Turismo y Agenda Digital y el Fondo Europeo de Desarrollo Regional (FEDER).
Los investigadores de vpnMentor tuvieron acceso a varias listas almacenadas en formato CSV, que contenían “información personal identificativa de cada usuario de 8Belts”: “En sólo una lista estaba expuesta la información de más de 150.000 personas. En conjunto, estimamos que las listas comprometieron la seguridad de cientos de miles de personas”. Noam Rotem y Ran Locar, que han liderado la investigación, explican por email que no pueden dar un número concreto de usuarios ya que no abrieron todos los archivos.
Personas de todo el mundo
La brecha de seguridad, según la investigación, ha afectado a personas de todo el mundo, “aunque la mayoría de los usuarios de 8Belts reside en países hispanohablantes”: “Los registros incluían datos de residentes de prácticamente todos los países del planeta, de seis continentes. Desde Estados Unidos a Uzbekistán, Australia, Angola, Bélgica o Barbados”. Además de la información personal mencionada, los investigadores señalan que también quedaron expuestos el historial de cursos, el rendimiento e información de las cuentas de los estudiantes. Por ejemplo, los cursos realizados, nombres de usuario, calificaciones, certificados de finalización de cursos y tarjetas regalo de 8Belts para compartir con amigos.
Entre los afectados, según explican, había empleados de compañías como Bridgestone, Decathlon, Huawei, Inditex, PricewaterhouseCoopers, Real Madrid, Renault y Santander. “Utilizaron la dirección de correo electrónico de trabajo de su empresa para suscribirse al servicio. Puede haber más, ya que estamos trabajando con muestras y no con los datos completos. Además, tampoco podemos revelar el nombre de empresas que no son clientes de 8Belts”, afirman Rotem y Locar. Aún hay algunos interrogantes sin resolver. No saben desde cuándo ha estado expuesta esta información ni si alguien más ha tenido acceso a ella: “Sabemos que al menos estaba abierto desde el día en que lo encontramos, el 16 de abril, hasta que lo resolvieron, el 28 de mayo”, explican.
Los registros más antiguos que encontraron datan del 2017. La empresa de ciberseguridad encontró la información desprotegida mientras realizaba un mapeo web que hace de forma habitual en busca de agujeros de seguridad. No buscaba nada específico, simplemente tropezó con esta base de datos. De esta forma, ya ha encontrado antes otras brechas. En febrero alertó de un fallo en Decathlon España que dejó desprotegidos los datos de 36.704 clientes. Unos meses antes, en 2019, también advirtió de que una brecha de seguridad en un servidor privado había dejado expuestos millones de datos de ciudadanos ecuatorianos.
Un error de configuración
En este caso, la base de datos expuesta fue un bucket S3 de los servicios de Amazon Web Services (AWS). Los buckets S3 son un tipo de almacenamiento en la nube. Una especie de contenedores en los que las empresas pueden guardar información. Cuando se empieza a utilizar S3, la configuración que viene por defecto solo permite acceder a esos contenedores al propietario de la cuenta y al administrador, según AWS.
Pero el cliente puede cambiar las configuraciones y dar acceso a otras personas. Ahí es donde puede producirse un problema si no se hace de forma adecuada. “Parece que 8Belts configuró mal sus permisos de usuario, exponiendo todos los datos en el bucket S3”, se explica en la investigación, en la que se hace hincapié en que no es un fallo de AWS, sino el resultado de un error del propietario. La forma más rápida de corregir este error es hacer el bucket privado y añadir protocolos de autenticación, según los investigadores, que recomiendan seguir las directrices de AWS.
Cuando los investigadores hallaron esta base de datos y mientras que determinaban el alcance de su hallazgo y si 8Belts era la empresa propietaria, “se seguían creando nuevos registros”. Tras confirmarlo, se intentaron poner en contacto con la compañía y también avisaron a Amazon Web Services. Este periódico contactó el pasado miércoles con 8Belts, que afirmó no tener constancia del error. Un día más tarde el fallo de configuración estaba solucionado, según afirma vpnMentor. Este periódico ha vuelto a ponerse en contacto con 8Belts en varias ocasiones, pero la compañía ha descartado hacer cualquier tipo de declaración hasta que finalice “todas las comprobaciones”.
Ataques dirigidos
“Toda esta información privada podría combinarse y aprovecharse de varios modos para lanzar ataques dirigidos a los afectados con fines de fraude o robo”, afirman los investigadores. Califican el error como “un fallo significativo en los protocolos de seguridad de 8Belts”. Los ciberdelincuentes, según señalan, podrían usar los nombres, direcciones de email, números de teléfono y DNIs para cometer robos de identidad. Las víctimas serían vulnerables “a toda una serie de fraudes bancarios, de crédito, de impuestos o de empleo con resultados devastadores”.
Además, señalan que al haber quedado expuesto el historial y la actividad de los usuarios en 8Belts, los ciberdelincuentes podrían crear campañas de phishing. Es decir, enviar email falsos a una víctima haciéndose pasar por una empresa “para que proporcione información financiera privada, como datos de la tarjeta de crédito, o haga clic en un enlace que inserta un software malicioso en su dispositivo”.
Las consecuencias, según los investigadores, también podrían ser nefastas para las empresas: “Los hackers podrían emplear las mismas tácticas para atacar específicamente a empresas cuyos empleados estuvieran registrados en 8Belts. Al haberse registrado muchos empleados con su dirección de email de trabajo, los hackers podrían atacarlos con emails de phishing muy efectivos que contuvieran malware. Solo sería necesario que una persona de una empresa hiciera clic en un enlace de estos emails para que toda la red de la compañía fuese vulnerable a un ataque”, afirman.