• Tweet

La firma de seguridad IM FaceTime ha explicado como los errores de programación condujeron a la exposición de la información de sus clientes en su sitio Web.

Un script en una pagina de petición en blanco de la firma enviaba la información de los contactos de sus clientes más potenciales a un archivo .csv en el sitio de FaceTime.

Lo peor aún, los comentarios dentro del script en la página Web, dieron con la localización de por lo menos tres de estos archivos sin encriptar, revelando la información de contactos de varios cientos de personas, incluyendo los nombre de la compañía, los nombres del contacto, direcciones de correo, números telefónicos, estado, país y otra información básica.

Los detalles sobre las tarjetas de crédito o los números de las tarjetas de seguridad no estuvieron implicados en la brecha de seguridad.

Actuando como un lector anónimo se dio el aviso oportuno sobre la brecha, se contacto con FaceTime. La firma actuó puntualmente cerrando el acceso a los archivos y restablecio las configuraciones de seguridad en el sitio. La firma esta en proceso para notificar a la gente, cuyos nombres estaban en la lista, vía correo electrónico enviados desde este martes.

Los cambios inadvertidos en estos ajustes de seguridad, debido al uso de parches, son la causa probable de la brecha, consideraron FaceTime. En una declaración, el vicepresidente de FaceTime de la gerencia de productos y marketing Frank Cabri explico: “La información del contacto de varios cientos de personas quienes habían solicitado acceso a nuestros documentos en blanco fueron accesibles a través de nuestro sitio Web por aquellos que veían el código de la pagina web y deduciendo las rutas especificas de los archivos .csv, en los cuales la información de los contactos era almacenada.”

“Todavía estamos investigando la causa de este incidente. Hasta ahora, hemos encontrado que nuestros parámetros estándares de seguridad para bloquear la apertura de archivos .cvs usando toda la ruta de URL han sido deshabilitados. Comprobamos las bitácoras de los eventos y no vimos nada que nos mostrara como esto pudo haber sido cambiado. Creemos que al aplicar un parche de seguridad, una actualización de seguridad o actualización del servidor, alguno de los ajustes de seguridad en los niveles de directorio pudieron haber revertido los efectos”.

Los comentarios en el script en una página de petición en blanco del micrositio de FaceTime señalaron el nombre de la ruta de otros archivos .cvs. FaceTime llama a esto como “un descuido en la codificación”

“Sin embargo, tenía los ajustes de seguridad los cuales trabajaban correctamente – los cuales ahora lo hacen- un usuario no habría podido abrir el archivo .csv en su navegador, incluso después de haber echo el calculo de la ruta. Removimos el código comentado para no verlo más. Buscamos el sitio completo por cualquier otra ocurrencia y no encontramos uno mas,” explico Cabri.

FaceTime esta tomando medidas para prevenir la filtración de la información en un futuro, similar a la de los contactos de clientes. Por ejemplo, implementando una regla de bloqueo de modo que cualquier petición para acceder al directorio que contiene los archivos .cvs, sea negada, así como implementar medidas de seguridad adicionales.