Hace unos días la universidad de Kentucky anunció que había sido víctima de una fuga de datos. Dicha fuga de datos se descubrió gracias a un pentest ejecutado sobre su infraestructura.
Durante una serie de pruebas, el equipo que llevaba a cabo el pentest encontró que era posible obtener acceso a las bases de datos de una aplicación de test de prácticas para el carnet de conducir. Tras investigar esta fuente de acceso llegaron a la conclusión de que esta vulnerabilidad había sido explotada anteriormente a principios de año por otro actor aún desconocido.
Mediante esta vulnerabilidad, se pudieron extraer email y contraseña de más de 350.000 usuarios, no solo de la universidad de Kentucky. El alcance total afecta a personas de 50 estados distintos dentro de Estados Unidos y al menos a otros 22 países. El uso de este programa está tan extendido gracias a que es parte de un proyecto pionero de la Universidad de Kentucky para la digitalización de la enseñanza conocido como OTIS (Open-source Tools for Instructional Support).
Tras parchear dicha vulnerabilidad el servicio en cuestión vuelve a estar en marcha y la Universidad de Kentucky está notificando a los afectados por la brecha. A su vez, ha aumentado el presupuesto destinado a la securización de la infraestructura y propuesto una serie de puntos claves a llevar a cabo a corto plazo.
No es la primera vez que en este blog hablamos de un ciberataque a una universidad. Hace poco hablábamos de un ciberataque a la universidad de Utah y en el pasado se ha hablado de otras universidades por causas similares. Parece que estas se han convertido en un objetivo de alto valor para diversos actores. Desde Hispasec recomendamos a las universidades auditar su infraestructura de manera periódica.
Enlaces de interes
https://www.uky.edu/its/cyberresponse
Deja una respuesta