Información exclusiva Una empresa de seguridad física con sede en el Reino Unido bajó la guardia y alrededor de 1,3 millones de documentos fueron liberados a través de una base de datos pública, según investigadores de seguridad de la información.
Un investigador dice que se topó con una gran cantidad de datos propiedad de Amberstone Security. Según los informes, los documentos incluían miles de fotografías de guardias de seguridad y fotografías de presuntos ladrones y otros delitos.
Se informó que un total de 1.274.086 documentos fueron publicados en Internet a través de una base de datos configurada incorrectamente durante un período de tiempo desconocido. No está claro si alguien con intenciones maliciosas accedió a los datos.
Amberstone Security ofrece productos y servicios de vigilancia, control de acceso y protección de mercancías, así como presencia de seguridad las 24 horas para los clientes.
Entre los datos filtrados, que datan de 2017, se encontraba una carpeta que contenía 99.151 instantáneas de guardias de seguridad registrando sus turnos. Las fotografías incluían la del propio guardia de seguridad, una fotografía de identificación o ambas. La foto del documento de identidad mostraba información básica como nombre, foto y fecha de vencimiento de la tarjeta. En casos excepcionales, también se mostraba una firma.
La tarjeta de identificación también fue emitida por la Autoridad de la Industria de Seguridad (SIA), que regula la industria de seguridad privada del Reino Unido. La tarjeta no tiene tecnología biométrica y es una simple tarjeta de identificación de plástico que puede ser fácilmente falsificada y mal utilizada.
El investigador Jeremiah Fowler afirmó que The Register le dijo que SIA planea introducir la autenticación biométrica en las tarjetas en un futuro próximo. Sin embargo, no se ha anunciado ninguna fecha concreta.
“Si los documentos de identificación de la SIA fueran comprometidos y utilizados indebidamente por personas no autorizadas, podrían representar una amenaza potencial grave a la seguridad pública, la privacidad individual y la integridad de las operaciones de seguridad”, dijo Fowler.
“Un ejemplo hipotético de un escenario de riesgo sería que un delincuente utilizara información disponible públicamente, como el nombre, la fotografía, el número de licencia, etc. de un guardia de seguridad para hacerse pasar por el guardia de seguridad o obtener acceso no autorizado a una instalación segura con fines delictivos. podría dar lugar a violaciones de la seguridad física, robo, vandalismo o, en el peor de los casos, actos de terrorismo”.
En cualquier caso, publicar una base de datos conlleva riesgos obvios para la privacidad, pero cuando, como en este caso, los datos publicados vinculan a un individuo con un presunto delito, los riesgos para la privacidad serán aún mayores.
Fowler dijo que los documentos encontrados en la base de datos pública incluían imágenes de los sospechosos que parecían haber sido capturadas por CCTV en el lugar o tomadas por personal de seguridad posteriormente. Muchas de las imágenes mostraban claramente a los sospechosos e incluían leyendas con información como nombres, fechas de nacimiento y detalles de los crímenes de los sospechosos.
En algunos casos, se encontraron descripciones detalladas de las acciones del sospechoso, dijo Fowler. Por ejemplo, se sabía que un hombre y sus compañeros frecuentaban centros comerciales en Lakeside y Stratford, en el sureste de Inglaterra, y parecían tener una predilección particular por los trajes masculinos caros.
La descripción detalla cómo los sospechosos escaparon del robo y luego regresaron a la tienda, apuntando a los empleados jóvenes y realizando un proceso complejo para obtener reembolsos en efectivo por los artículos robados.
Asimismo, la hoja de cálculo contenía información como cuál fue el delito, cómo se cometió y si se utilizó violencia.
respuesta rápida
Amberstone Security retiró el acceso público a la base de datos el día después de que se le alertara de que la base de datos había sido comprometida e informó a Fowler que el error podría haber sido causado por un tercero.
“Gracias por informarnos sobre este tema. Esto es extremadamente preocupante. Estamos investigando con el proveedor que desarrolló y aloja la plataforma”, dijo un representante de la compañía a los investigadores. “Tenga la seguridad de que nos tomamos en serio la seguridad de los datos y que este asunto será investigado a fondo”.
El Registro contactó a Amberstone para obtener una respuesta, y un portavoz de su empresa matriz, Argenbright Security Europe, dijo: “Amberstone fue informada del problema de configuración del servidor e inmediatamente contuvo el riesgo. “Actuamos de acuerdo con nuestras obligaciones regulatorias. “
Amberstone Security no identificó al contratista externo. ®
Fuente: https://www.theregister.com/AMP/2024/05/07/uk_security_company_breach/