La compañía Google ha confirmado que su instancia corporativa Salesforce ha sufrido un ataque que ha permitido la filtración de datos de usuarios de Google Ads. Este ataque fue descubierto por Google Threat Intelligence Group en junio y fue a través de la amenaza UNC6040, especializado en phishing que afecto a Salesforce.
La compañía por su parte, se ha puesto en contacto con los clientes de Google Ads que se han visto afectados por correo electrónico tras analizar la situación y tomar las medidas necesarias para lograr la mitigación del ataque.
Google Ads sufre un ataque y filtra datos de anunciantes
Según ha informado Bleeping Computer, el correo electrónico indica lo siguiente:
Le escribimos para informarle sobre un evento que afectó a un conjunto limitado de datos en una de las instancias corporativas de Salesforce de Google, utilizada para comunicarse con clientes potenciales de Google Ads. Nuestros registros indican que la información básica de contacto empresarial y las notas relacionadas se vieron afectadas por este evento.
Sin lugar a duda esto es una gran preocupación para los usuarios de Google Ads o lo que quieran suscribirse a esta plataforma de anuncios online, que una compañía como Google y con la infraestructura con la que cuenta se victima de un ataque de este tipo, pero más para esas compañías tecnológica enfocadas en la seguridad utilizan la plataforma para anunciarse.
Google ha comenzado a revelar detalles sobre el ataque, tal y como lo mencionamos anteriormente, ya ha comenzado a ofrecer detalles de lo que ha ocurrido. Recientemente ha publicado en su blog un una entrada en donde explica el funcionamiento de dicho ataque.
En junio, una de las instancias corporativas de Salesforce de Google se vio afectada por una actividad UNC6040 similar a la descrita en esta publicación. Google respondió a la actividad, realizó un análisis de impacto e inició medidas de mitigación. La instancia se utilizaba para almacenar información de contacto y notas relacionadas de pequeñas y medianas empresas. El análisis reveló que el atacante recuperó los datos durante un breve periodo de tiempo antes de que se cortara el acceso. Los datos recuperados se limitaban a información empresarial básica y, en gran medida, pública, como nombres de empresas y datos de contacto.
Sin embargo, aunque Google intente minimizar este ataque a Google Ads, el impacto es bastante importante y a la vez preocupante, ya que los datos expuestos so los de sus clientes, pero no proporcionan detalles de la cantidad de datos que se han sustraído.
Por otra parte, la Gran G ha indicado que ha completado el proceso de contactar con cualquier persona cuyos datos hayan sido expuestos, por lo tanto, si no has recibido ningún mensaje de parte de la compañía, puedes estar tranquilo.
Hasta el momento se conoce que los autores de este ataque son ShinyHunters, quienes durante un tiempo han estado asechando la plataforma de gestión de datos Salesforce basada en la nube. En cambio los atacantes han revelado que han logrado robar alrededor de 2,55 millones de registros de datos, pero no está claro a cuántos clientes se refieren.
Según ha informado DataBreaches.net, los atacantes ya han enviado una demanda de extorción a Google en donde exigen millones de dólares para no filtrar dichos datos. Por el momento, ni Google ni los atacantes han confirmado si se realizo o no este pago.
Google ofrece una serie de consejos para que las organizaciones puedan fortalecer su seguridad:
- Cumpla con el principio de privilegios mínimos, especialmente para herramientas de acceso a datos: Otorgue a los usuarios solo los permisos esenciales para sus funciones, ni más ni menos. En el caso de herramientas como Data Loader, que suelen requerir el permiso «API habilitado» para una funcionalidad completa, limite estrictamente su asignación. Este permiso permite una amplia gama de funciones de exportación de datos; por lo tanto, su asignación debe controlarse cuidadosamente. Siguiendo las directrices de Salesforce, revise y configure el acceso a Data Loader para restringir el número de usuarios que pueden realizar operaciones masivas de datos y audite periódicamente los perfiles y conjuntos de permisos para garantizar los niveles de acceso adecuados.
- Gestione rigurosamente el acceso a las aplicaciones conectadas: Controle cómo las aplicaciones externas, incluido Data Loader, interactúan con su entorno de Salesforce. Gestione con diligencia el acceso a sus aplicaciones conectadas, especificando qué usuarios, perfiles o conjuntos de permisos pueden usarlas y desde dónde. Es fundamental restringir los permisos potentes, como «Personalizar aplicación» y «Administrar aplicaciones conectadas», que permiten a los usuarios autorizar o instalar nuevas aplicaciones conectadas, únicamente al personal administrativo esencial y de confianza. Considere desarrollar un proceso para revisar y aprobar las aplicaciones conectadas, incluyendo potencialmente en la lista de permitidos las aplicaciones seguras para evitar la introducción no autorizada de aplicaciones maliciosas, como instancias modificadas de Data Loader.
- Implemente restricciones de acceso basadas en IP: Para contrarrestar los intentos de acceso no autorizado, incluidos los de actores de amenazas que utilizan VPN comerciales, implemente restricciones de direcciones IP. Establezca rangos de inicio de sesión e IP de confianza, restringiendo así el acceso a sus redes empresariales y VPN definidas. Defina rangos de IP permitidos para los perfiles de usuario y, cuando corresponda, para las políticas de aplicaciones conectadas, a fin de garantizar que los inicios de sesión y las autorizaciones de aplicaciones desde direcciones IP inesperadas o no confiables se denieguen o se impidan adecuadamente.
- Aproveche la monitorización avanzada de seguridad y la aplicación de políticas con Salesforce Shield: Para optimizar las alertas, la visibilidad y las capacidades de respuesta automatizada, utilice las herramientas de Salesforce Shield. Las políticas de seguridad de transacciones le permiten monitorizar actividades como las descargas de grandes volúmenes de datos (una señal común de abuso del cargador de datos) y activar alertas automáticamente o bloquear estas acciones. Complemente esto con la «Monitorización de eventos» para obtener una visibilidad completa del comportamiento de los usuarios, los patrones de acceso a los datos (p. ej., quién vio qué datos y cuándo), el uso de la API y otras actividades críticas, lo que ayuda a detectar anomalías que indiquen una vulnerabilidad. Estos registros también se pueden incorporar a sus herramientas de seguridad internas para un análisis más amplio.
- Implementar la autenticación multifactor (MFA) de forma universal: Si bien las tácticas de ingeniería social descritas pueden implicar engañar a los usuarios para que respondan a una solicitud de MFA (por ejemplo, para autorizar una aplicación maliciosa conectada), la MFA sigue siendo un control de seguridad fundamental. Salesforce afirma que «la MFA es una herramienta esencial y eficaz para mejorar la protección contra el acceso no autorizado a las cuentas» y la exige para los inicios de sesión directos. Asegúrese de que la MFA esté implementada de forma sólida en toda su organización y de que los usuarios estén informados sobre las tácticas de fatiga de la MFA y los intentos de ingeniería social diseñados para eludir esta protección crítica.
¿Qué te parece la noticia?¿Eres cliente de Google Ads?¿Haz verificado tu correo? – Cuéntanos los detalles en los comentarios.
