‘The Telegraph’, uno de los mayores periódicos y medios de comunicación online del Reino Unido, ha filtrado 10 TB de datos tras no asegurar correctamente una de sus bases de datos.

La información expuesta incluye registros internos, nombres completos de suscriptores, direcciones de correo electrónico, información de dispositivos, solicitudes de URL, direcciones IP, tokens de autenticación e identificadores únicos de lectores.

Bob Diachenko, el investigador que descubrió el conjunto de datos desprotegidos el 14 de septiembre de 2021, ha confirmado que al menos 1.200 contactos no cifrados eran accesibles sin contraseña en el momento de su revisión.

La instancia fue indexada en los motores de búsqueda especializados el 1 de septiembre de 2021, por lo que el periodo de exposición es de al menos tres semanas. Eso es tiempo suficiente para que los atacantes y los escáneres automáticos encuentren la base de datos expuesta y exfiltren los datos contenidos.

Para aquellos que hayan podido quedar expuestos como resultado de esta filtración de datos, el principal riesgo que corren es el de ser estafados o víctimas de phishing a través del correo electrónico.

La filtración de las solicitudes de URL también puede causar un riesgo para la privacidad, ya que alguien podría utilizarlas para construir el historial de navegación de los usuarios en la plataforma de noticias.

En cuanto a las consecuencias para The Telegraph, los tokens de acceso robados podrían ser utilizados por los no suscriptores para acceder a los contenidos encerrados tras su muro de pago, pero podrían solucionarlo con un reinicio.

The Telegraph emitió el siguiente comunicado en relación con los hallazgos de Diachenko:

“Tuvimos conocimiento de este descubrimiento el 16 de septiembre y tomamos medidas inmediatas para asegurar los datos. Una investigación demostró que sólo un pequeño número de registros estaban expuestos, menos del 0,1% de nuestros usuarios, y nos hemos puesto en contacto con todos ellos para informarles. La investigación también concluyó que, aunque los datos estaban expuestos, no se produjo ninguna infracción aparte del descubrimiento publicado por el investigador. Agradecemos el trabajo de los investigadores independientes que revelan responsablemente las vulnerabilidades y exposiciones y que son vitales en nuestro trabajo continuo para proteger nuestros activos”.

Según esta declaración, el número de personas afectadas es de 600, que es menos de lo que Daichenko vio expuesto. El Telegraph también afirma que ninguno de ellos corre riesgos de explotación, ya que Diachenko fue la primera y la última persona que accedió al conjunto de datos sensibles.

Con información de La Vanguardia.