Un depósito de Amazon S3 mal configurado de London Business School ha provocado la exposición de datos confidenciales pertenecientes a sus estudiantes. Los detalles filtrados incluyen sus nombres, correos electrónicos, DoB, ubicaciones, etc.
London Business School respondió rápidamente a esta fuga asegurando el cubo S3 y dijo que el riesgo que ocurrió debido al incidente es mínimo. Esto fue detectado e informado a LSB por Bob Diachenko, un investigador de seguridad.
Fuga de datos de la Escuela de Negocios de Londres
Un componente de la Universidad Federal de Londres, la Escuela de Negocios de Londres ha sido clasificada constantemente como las 5 mejores Escuelas de Negocios del mundo durante tantos años. Con campus de última generación en Londres y Dubái, la universidad cuenta con más de 2000 estudiantes de varios países.
Aunque es una de las mejores escuelas de MBA de la actualidad, LBS aún no asegura adecuadamente sus instancias en la nube que almacenan datos confidenciales que pertenecen a sus estudiantes. Bob Diachenkoun investigador de seguridad que descubrió anteriormente fugas de datos de RedLine, SonarQube, Razer, etc., notó un cubo de Amazon S3 mal configurado perteneciente a LBS.
Escuela de Negocios de Londres [@LBS] datos expuestos de sus estudiantes: nombres, correos electrónicos, ID de usuario, fecha de nacimiento, intereses, ubicaciones, etc. a través de un depósito s3 mal configurado. Se me proporcionó la siguiente declaración después de que tuvo lugar la divulgación responsable: pic.twitter.com/U9xQTbejJO
—Bob Diachenko (@MayhemDayOne) 28 de marzo de 2022
Dijo que la instancia de nube expuesta está filtrando los datos de los estudiantes, que incluyen sus nombres, correos electrónicos, ID de usuario, fecha de nacimiento, intereses, ubicaciones, etc.. Y después de revelarlo responsablemente a la London Business School, la escuela respondió;
“Identificamos el sistema en cuestión y tomamos medidas rápidas para remediar la mala configuración. La causa raíz de esto se ha identificado como el uso erróneo de transferencias de datos e informes de un depósito de almacenamiento destinado a archivos públicos”.
Al informar el incidente a ICO, la escuela sorprendentemente considera que el riesgo que representan estos datos expuestos es “mínimo“. Las fugas de datos que surgen de instancias en la nube mal configuradas, especialmente los cubos de Amazon S3, no son infrecuentes.
Amazon ha presentado una guía clara sobre cómo asegurar adecuadamente sus cubos S3, y esté atento a cualquier filtración o ciberataque dirigido a ellos. Por lo tanto, es responsabilidad de los clientes finales de la empresa estar informados y actuar en consecuencia.
