En las últimas semanas y meses, varias empresas de criptomonedas, grandes y pequeñas, han sido víctimas de filtraciones de datos de proveedores de servicios de marketing. La reciente filtración de datos sufrida por HubSpot es un ejemplo notable.
Como resultado, quedó expuesta la información personal de potencialmente millones de clientes de las empresas afectadas. En algunos casos, esto también incluía detalles adicionales sobre sus cuentas.
Los clientes afectados ahora han sido identificados como usuarios de servicios específicos, en gran parte dentro del espacio de criptomonedas y activos digitales, lo que los hace vulnerables a ataques de phishing, ingeniería social y otros tipos de ataques.
Ledn no se vio afectado por ninguna de las filtraciones de datos recientes, incluido el reciente incidente de HubSpot.
Anton Livaja es el líder del equipo de seguridad de la información de Ledn.
Este resultado es el resultado de ir más allá de las medidas de seguridad estándar y adaptar las prácticas de la empresa a nuestros riesgos únicos de la industria. Valoramos los datos de nuestros clientes como lo hacemos con los activos de nuestros clientes y hacemos todo lo posible para protegerlos.
Al igual que otras empresas en muchas industrias, Ledn usa HubSpot para administrar nuestro blog, correos electrónicos y páginas de destino. HubSpot es una herramienta poderosa que, si se usa correctamente, puede ayudar a las empresas a comunicarse con los clientes de manera eficiente. El uso de plataformas de automatización es una excelente manera de mejorar su marketing, pero es importante tener siempre la seguridad en mente. Afortunadamente, hay formas en que las empresas pueden minimizar su riesgo al interactuar con plataformas como HubSpot.
En este artículo, desglosamos el reciente incidente de HubSpot y destacamos los pasos que se tomaron para proteger los datos de los clientes de Ledn. Al utilizar estos métodos, otras empresas o entidades pueden agregar capas adicionales para proteger los datos de sus clientes de este tipo de vectores.
Nuestra esperanza es que al mostrar abiertamente nuestras acciones y aprendizajes, podamos ayudar a otros a evitar un incidente similar en el futuro y mejorar su postura de seguridad.
Vamos a empezar desde el principio.
¿Qué sucedió?
HubSpot sufrió una filtración de datos porque uno de sus empleados se vio comprometido. Esto permitió al adversario usar la cuenta comprometida de HubSpot para acceder a varias cuentas de clientes, específicamente dirigidas a empresas de criptomonedas.
Los detalles sobre cómo se comprometió la cuenta del empleado y por qué no se implementaron controles adicionales para mitigar este escenario no están claros. Este es otro ataque más en una serie de violaciones de datos centradas en criptografía, incluida la que experimentó Ledger en 2020, que también se debió a una violación de HubSpot.
El informe público de incidentes de HubSpot se puede encontrar aquí.
Del informe:
“¿Por qué un empleado de HubSpot tuvo acceso a los datos de los clientes de HubSpot?
“Algunos empleados tienen acceso a las cuentas de HubSpot. Esto permite que empleados como administradores de cuentas y especialistas de soporte ayuden a los clientes. En este caso, un mal actor pudo comprometer la cuenta de un empleado y hacer uso de este acceso para exportar datos de contacto desde una pequeña cantidad de cuentas de HubSpot”.
¿Cómo pudo Ledn protegerse a sí mismo?
La razón principal por la que Ledn no se vio afectada por la violación de HubSpot fue nuestra obsesión por proteger los datos de nuestros clientes y, por extensión, limitar el acceso de nuestro proveedor a los datos.
Cuando decidimos utilizar proveedores externos, una gran consideración para nosotros es si tenemos la capacidad de deshabilitar el acceso de los empleados del proveedor a nuestros datos. En el caso de HubSpot, siempre tenemos deshabilitado el acceso de los empleados y, cuando es necesario, lo habilitamos durante el período de tiempo necesario para que el personal de HubSpot brinde soporte y lo deshabilitamos inmediatamente después, lo que simplemente aplica el principio de privilegio mínimo.
En Ledn, asumimos que cuando utilizamos proveedores externos, asumimos un riesgo que es imposible de cuantificar por completo y, por esa razón, se deben tomar precauciones adicionales.
Hay una tendencia a tener un mayor grado de confianza en las empresas más grandes porque presumiblemente invierten mucho en seguridad. Pero si bien podemos confiar, también debemos verificar; donde no podemos verificar, debemos aplicar todos los métodos disponibles para reducir el área de superficie de ataque.
Limitar el acceso de un empleado de la plataforma a nuestros datos es una práctica que utilizamos siempre que esta función esté disponible y es algo que buscamos durante nuestro período de evaluación de proveedores externos. Muchas empresas brindan esta función y, cuando no lo hacen, a menudo solicitamos al proveedor que agregue esta función, ya que a menudo requiere un esfuerzo relativamente bajo para implementar y mejora la postura de seguridad de ambas partes.
Limitar el acceso de proveedores externos a los datos del usuario final es una buena práctica en un entorno de confianza cero.
En última instancia, las amenazas internas son una consideración importante para todas las empresas y debe centrarse en eliminar los puntos únicos de falla, de modo que incluso si alguien se ve comprometido, no puede causar daños. Las suposiciones útiles para incorporar en el modelo de amenazas de su empresa son que en cualquier empresa, en todo momento, al menos una persona es coaccionada o comprometida en cada equipo, todas las máquinas siempre están comprometidas y sus adversarios están bien financiados y son pacientes.
¿De qué otra forma pueden las empresas proteger los datos de los clientes cuando utilizan proveedores de servicios externos?
Asegúrese siempre de compartir solo los datos que es absolutamente necesario compartir con proveedores externos. Se debe considerar cuidadosamente compartir información personal con un tercero y, por lo general, solo se hace si es absolutamente necesario.
Un ejemplo sería tener que compartir datos debido a requisitos normativos. Si decide compartir datos con un proveedor externo, limítelo solo al subconjunto de datos estrictamente necesarios para que la plataforma funcione.
Cuando se necesitan proveedores externos, la diligencia debida debe ejecutarse utilizando un enfoque de “primeros principios”. Esto significa evaluar cuidadosamente los riesgos, considerando el tipo de datos con los que interactuará el proveedor y determinando cómo los protegerá.
Si la seguridad del proveedor no protege los datos requeridos, debe considerar buscar un proveedor diferente o utilizar una opción alternativa, como construir internamente, como solemos hacer en Ledn.
Es importante tener una cultura sólida que les recuerde continuamente a los empleados que la TI en la sombra, la práctica de usar tecnologías que no han sido examinadas e incorporadas por los departamentos de seguridad de la información y TI, es una práctica peligrosa que puede afectar gravemente la postura general de seguridad. de la organización. Todos los equipos deben entender bien que la seguridad de la información y TI debe ser fundamental en la selección de nuevas herramientas y servicios organizacionales.
Además, las plataformas a menudo brindan funciones que agregan capas adicionales de seguridad, por lo que es útil preguntar qué hay disponible. Para mitigar el riesgo del lado del proveedor externo, así como internamente, aquí hay algunos consejos sobre qué buscar y preguntar, y los controles que se deben implementar:
Inhabilitar o restringir directamente el acceso de los empleados del proveedor a los datos. Pregúntele al proveedor externo qué tipo de controles internos tiene cuando se trata de limitar el acceso a los datos del cliente. Lo que debe buscar es: Uso de tokens de hardware (como Yubikey, Titan Security Key u otro dispositivo de tarjeta inteligente o módulo de seguridad de hardware personal, o dispositivo HSM). Mandatos para el uso de Fast Identity Online o protocolos de autenticación FIDO. Control dual o autenticación n-of-m para evitar que las personas tengan acceso confidencial y privilegiado. Cómo es su proceso de recuperación de acceso; si no es lo suficientemente riguroso, eso puede usarse para eludir sus mecanismos de autenticación. Ya sea que tengan una práctica de “ingeniería de producción”, donde los ingenieros que acceden a la infraestructura crítica usan máquinas reforzadas con acceso limitado a la red para completar cualquier tarea que requiera interactuar con los sistemas de producción. Autenticación basada en certificados: el uso de certificados criptográficos limita el acceso a un activo solo a quienes poseen el certificado. Puede considerarlo como un archivo especial que vincula el acceso solo a los dispositivos que tienen certificados legítimos. Se recomienda utilizar la autenticación basada en certificados para servicios críticos, como un proveedor de inicio de sesión único (SSO) o para acceder a servicios importantes mediante la seguridad de la capa de transporte mutuo (mTLS). Puede obtener más información sobre la autenticación basada en certificados aquí. Listas seguras de IP: los servicios ofrecen con frecuencia la capacidad de limitar el acceso solo a direcciones IP específicas. Para aprovechar esto, necesita una IP estática: una forma de lograr esto para un grupo de usuarios es mediante el uso de una red privada virtual, una VPN.Usando sus propias claves para el cifrado. A menudo, uno puede usar sus propias claves para cifrar los datos que se almacenan con un proveedor externo. Esta es una garantía adicional que ayuda a reducir el riesgo en caso de que se vean comprometidos, porque las claves que se utilizan para descifrar los datos se almacenan con usted, fuera de su sistema, y usted tiene la capacidad de revocar el acceso a ellos en el caso de una emergencia. El tipo de autenticación multifactor (MFA) que admiten para los usuarios de su servicio; La autenticación asimétrica basada en criptografía es lo mejor que tenemos disponible actualmente. Es similar a usar una billetera de hardware para criptomonedas. Se prefiere WebAuthn/Universal 2nd Factor; Yubikey y Titan Security Key son algunos dispositivos populares que admiten la familia de protocolos de autenticación FIDO. Si aún no usa esta tecnología y se preocupa por la seguridad, le recomendamos que obtenga una. Ledn implementará soporte para este tipo de MFA en un futuro cercano. Soporte de inicio de sesión único: la tecnología SSO permite imponer controles en muchos servicios desde un punto centralizado. Es importante tener cuidado y configurar SSO correctamente, ya que de lo contrario puede ser un gran punto único de falla. Como se mencionó anteriormente, se recomienda el uso de la autenticación basada en certificados como una capa adicional de acceso al SSO, preferiblemente en una configuración de mTLS. Administración de contraseñas: el uso de un administrador de contraseñas es una buena práctica de seguridad básica. La idea es utilizar una frase de contraseña maestra sólida (de al menos 16 caracteres de longitud) y todas las contraseñas almacenadas en el administrador de contraseñas deben ser muy largas y complejas (42 caracteres o más, y generadas con el administrador de contraseñas integrado normalmente disponible) . La regla general es: “Si recuerda todas sus contraseñas, lo está haciendo mal”.
Un proveedor de servicios filtró mis datos personales durante el reciente incidente de HubSpot. ¿Que puedo hacer?
Hay varios pasos que se pueden tomar para reducir el riesgo de ataques:
Asegúrese de tener autenticación de 2 factores en cada cuenta que tenga la capacidad de procesar transacciones financieras. Es una buena práctica usar un token de seguridad como Yubikey o 2FA basado en un autenticador (también conocido como TOTP) a través de SMS como su método 2FA. Ya que ha llegado hasta aquí, aquí hay un pequeño anuncio previo para usted: Ledn lanzará el soporte de WebAuthn este trimestre. En segundo lugar, active las frases antiphishing para los correos electrónicos de la plataforma en cada servicio que lo permita. Puede obtener más información sobre las frases antiphishing aquí. Usa algo que sea difícil de adivinar. Los adversarios a menudo crearán un perfil en su objetivo para descubrir cosas que les gustan o de las que hablan a través de las redes sociales para permitirles crear ataques más efectivos y sofisticados contra su objetivo. Active listas seguras en cada servicio con la capacidad de procesar una transacción financiera. Esto restringirá los retiros de sus cuentas a direcciones previamente especificadas. Una implementación adecuada de esta función incluirá un período de “enfriamiento” después de agregar la dirección dentro del cual no se puede enviar la dirección, generalmente durante 24 a 48 horas, lo que le da más tiempo para reaccionar. Comuníquese con su proveedor de servicios para asegurarse de que tengan ahora se limita el acceso de los proveedores externos a los datos del cliente a menos que sea por los períodos de tiempo que sean absolutamente necesarios. Una recomendación adicional es usar un correo electrónico único para cada plataforma de criptomonedas que use, ya que esto hace que sea mucho más difícil dirigirse a usted a través de diferentes plataformas en caso uno está comprometido. Trate su nombre de usuario / correo electrónico como una contraseña para servicios confidenciales. Escucha el episodio 112 de Darknet Diaries. Le dará una gran idea de cómo piensan los adversarios en la industria de las criptomonedas. Comienza a los 45 minutos si quieres el TL; DR. Además, puede usar este excelente recurso, que tiene una extensa lista de recomendaciones sobre cómo mejorar diferentes aspectos de su postura de seguridad y privacidad: https://github.com/Lissy93/personal-security-checklist
Esta es una publicación invitada de Anton Livaja. Las opiniones expresadas son totalmente propias y no reflejan necesariamente las de BTC Inc. o Revista Bitcoin.