1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Internet de EE. UU. Filtró Años de Correos Electrónicos Internos de Clientes

Internet de EE. UU. Filtró Años de Correos Electrónicos Internos de Clientes

El proveedor de Internet con sede en Minnesota U. S. Internet Corp. tiene una unidad de negocio llamada Seguridad, que se especializa en brindar servicios de correo electrónico seguros y filtrados a empresas, instituciones educativas y agencias gubernamentales de todo el mundo. Pero hasta que fue notificado la semana pasada, U. S. Internet publicaba más de una década de su correo electrónico interno, y el de miles de clientes de Securence — en texto sin formato en Internet y a solo un clic de distancia para cualquier persona con un navegador web.

Con sede en Minnetonka, Minnesota., U. S. Internet es un ISP regional que brinda servicio de Internet inalámbrico y de fibra. La división de Seguridad del ISP se anuncia a sí misma como "un proveedor líder de software de administración y filtrado de correo electrónico que incluye servicios de protección y seguridad de correo electrónico para pequeñas empresas, empresas, instituciones educativas y gubernamentales de todo el mundo.”

U. S. Internet/ Securence dice que su correo electrónico es seguro. Nada podría estar más lejos de la verdad.

Hace aproximadamente una semana, KrebsOnSecurity fue contactado por Mantener la Seguridad, una empresa de ciberseguridad con sede en Milwaukee. Fundador de Hold Security Alex Holden dijo que sus investigadores habían descubierto un enlace público a un servidor de correo electrónico de Internet de EE.UU. que enumeraba más de 6.500 nombres de dominio, cada uno con su propio enlace en el que se podía hacer clic.

Una pequeña porción de los más de 6.500 clientes que confiaron en Internet de EE.UU. con su correo electrónico.

Al profundizar en esos enlaces de dominio individuales, se revelaron bandejas de entrada para cada empleado o usuario de estos sitios web expuestos. Algunos de los correos electrónicos expuestos datan de 2008; otros eran tan recientes como la actualidad.

Securence cuenta entre sus clientes con docenas de gobiernos estatales y locales, incluidos: nc.gov - el sitio web oficial de Carolina del Norte; stillwatermn.gov, el sitio web de la ciudad de Stillwater, Minnesota.; y cityoffrederickmd.gov, el sitio web del gobierno de Frederick, Maryland.

Increíblemente, incluidos en este índice gigante de correos electrónicos de clientes de Internet de EE. UU. estaban los mensajes internos de todos los empleados actuales y anteriores de U. S. Internet y su subsidiaria. Inalámbrico USI. Dado que ese índice también incluía los mensajes de Internet de EE. UU. CEO Travis Carter, KrebsOnSecurity le envió uno de los correos electrónicos recientes del Sr. Carter, junto con una solicitud para comprender exactamente cómo la compañía logró arruinar las cosas de manera tan espectacular.

Las bandejas de entrada individuales de los empleados inalámbricos de EE. UU. se publicaron en texto claro en Internet. Las marcas de tiempo enumeradas no parecen ser precisas de alguna manera. Por ejemplo, la marca de tiempo de la bandeja de entrada del Sr. Carter dice agosto de 2009, pero al hacer clic en esa bandeja de entrada se revelaron mensajes tan recientes como febrero. 10, 2024.

A los pocos minutos de esa notificación, Internet de EE.UU. desconectó todas las bandejas de entrada publicadas. El Sr. Carter respondió y dijo que su equipo estaba investigando cómo sucedió. Al mismo tiempo, el CEO preguntó si KrebsOnSecurity contrata consultoría de seguridad (yo no).

[Nota del autor: Tal vez el Sr. Carter estaba buscando frenéticamente cualquier experiencia que pudiera encontrar en un momento difícil. Pero encontré la solicitud personalmente ofensiva, porque no podía evitar la idea de que tal vez la compañía esperaba poder comprar mi silencio.]

A principios de esta semana, Carter respondió con una explicación altamente técnica que, en última instancia, hizo poco para explicar por qué o cómo se publicaron tantas bandejas de entrada internas y de clientes en texto sin formato en Internet.

"Los comentarios de mi equipo fueron un problema con el Libro de jugadas de Ansible que controla el Nginx configuración para nuestro IMAP servidores", dijo Carter, señalando que esta configuración incorrecta fue implementada por un exempleado y nunca fue detectada. Internet de EE. UU. no ha compartido cuánto tiempo estuvieron expuestos estos mensajes.

"El resto de la plataforma y otros servicios de back-end están siendo auditados para verificar que los libros de jugadas de Ansible sean correctos", dijo Carter.

Holden dijo que también descubrió que los piratas informáticos han estado abusando de un servicio de limpieza de enlaces de seguridad y antispam llamado Escudo de Url para crear enlaces que parezcan benignos pero que, en cambio, redirijan a los visitantes a sitios web pirateados y maliciosos.

"Los malos modifican los informes de enlaces maliciosos en redireccionamientos a sus propios sitios maliciosos", dijo Holden. "Así es como los malos dirigen el tráfico a sus sitios y aumentan las clasificaciones en los motores de búsqueda.”

Por ejemplo, al hacer clic en el enlace de Seguridad que se muestra en la captura de pantalla directamente arriba, se accede a un sitio web que intenta engañar a los visitantes para que ingresen permitir notificaciones del sitio al formular la solicitud como una solicitud CAPTCHA diseñada para separar a los humanos de los bots. Después de aprobar la solicitud engañosa de CAPTCHA/ notificación, el enlace reenvía al visitante a un nombre de dominio internacionalizado ruso (рпроаг[.]рф).

El enlace a este sitio web malicioso y engañoso se creó utilizando el servicio de depuración de enlaces de Securence. Las ventanas emergentes de notificación se bloquearon cuando este sitio intentó disfrazar un mensaje para aceptar notificaciones como una forma de CAPTCHA.

U. S. Internet no ha respondido a las preguntas sobre cuánto tiempo ha estado exponiendo todos sus correos electrónicos internos y de clientes, o cuándo se realizaron los cambios de configuración errantes. La compañía tampoco ha revelado el incidente en su sitio web. El último comunicado de prensa en el sitio data de marzo de 2020.

KrebsOnSecurity ha estado escribiendo sobre violaciones de datos durante casi dos décadas, pero esta fácilmente se lleva la palma en términos del nivel de incompetencia necesario para pasar desapercibido un error tan grande. No estoy seguro de cuál debería ser la respuesta adecuada de las autoridades o reguladores a este incidente, pero está claro que a Internet de EE.UU. no se le debe permitir administrar el correo electrónico de nadie a menos que pueda demostrar más transparencia y demostrar que ha renovado radicalmente su seguridad.



>>Más