Radu Dragusin, científico de la computación de FindZebra y profesor adjunto
de la Universidad de Copenhage, descubrió que un servidor del Instituto de
Ingeniería en Eléctrica y Electrónica (IEEE por sus siglas en inglés) poseía
alrededor de 100,000 nombres de usuario y contraseñas almacenados en texto plano
y accesibles al público en general.
De acuerdo con una publicación de Dragusin,
los datos se encontraban a disposición de los internautas en su servidor FTP,
durante al menos un mes antes del descubrimiento.
Entre la información comprometida se encuentran empleados de Apple, Google,
IBM, Oracle y Samsung, así como investigadores de la NASA, la Universidad de
Stanford, entre otras organizaciones e instituciones.
Según Dragusin, el error más importante y más simple por parte de los
administradores del sitio Web del IEEE fue que no restringieron el acceso a los
registros de su servidor Web, lo que permitía que éstos pudieran ser vistos por
cualquiera.
“Los registros del servidor Web nunca deben estar a disposición del público,
ya que por lo general contienen información que puede ser utilizada para
identificar a los usuarios. Sin embargo, en este caso es mucho peor, ya que
411,308 de los registros de entrada contienen nombres de usuario y contraseña.
De estos parece que hay 99,979 nombres de usuario únicos”, escribió
Dragusin.
Los miembros supuestamente comprometidos del IEEE se encuentran alrededor de
todo el mundo, según la geolocalización de su dirección IP, donde sobresalen
zonas como América del Norte, Europa y la India.
Dragusin notificó al IEEE de su descubrimiento lo que les permitió arreglar
el problema al menos de forma parcial.
Fuente: bsecure.com.mx
No hay comentarios:
Publicar un comentario