¿Sabe cuánto de su información individual y privada existe en World-wide-web para que cualquiera pueda verla? Incluso cuando crea que esta información se mantiene detrás de muros de seguridad bien mantenidos, es posible que no sea así. Este problema se destacó la semana pasada cuando los investigadores descubrieron que varios sitios web creados con el software Salesforce Local community estaban «filtrando» información privada a cualquier persona que pudiera volver a escribir una URL.
En el fondo, el problema se refiere a quién puede «poseer» sus datos privados y quién controla el acceso a ellos. Net se diseñó originalmente para facilitar el intercambio de datos y la apertura. Al convertirse en una pink de comunicaciones para compartir todo tipo de información, tanto pública como confidencial, se desarrollaron y agregaron funciones de seguridad, así como controles sobre quién podía acceder a ciertos datos y cómo.
Con demasiada frecuencia, el mistake humano o la falta de habilidades conducen a infracciones importantes o «fugas» de datos más silenciosas de información privada. Si bien aumentar el conocimiento y las habilidades es la forma obvia de evitarlos, esto también tiene vulnerabilidades. Sería mejor repensar y rediseñar todo el modelo de seguridad de Online, utilizando información encriptada y almacenada en blockchain que permita a los usuarios «poseer» sus propios datos personales y tokens de acceso digital con un command más granular sobre quién puede acceder a ellos.
Con un sistema basado en token/blockchain, el acceso puede restringirse solo a ciertas personas, solo para ciertos propósitos e incluso por tiempos limitados. Los permisos individuales se pueden otorgar o revocar fácilmente, y la cadena de bloques mantiene un registro de todo lo que ha sucedido: quién accedió a datos específicos y cuándo, y si alguno de los registros ha sido alterado.
El problema de la comunidad de Salesforce
El consultor de seguridad y empleado de Salesforce durante 13 años, Doug Merrett, describió en detalle cómo ocurre el problema y publicó guías sobre cómo evitarlo. El problema existe con el software package de creación de sitios world wide web basado en la nube de Salesforce Electronic Activities/Experience Cloud, anteriormente Salesforce Aura Communities. Permite que cualquier persona cree bases de datos en línea con diseños personalizados, incluidos los datos personales, para cualquier número de propósitos según la industria y los requisitos.
Merrett describió cómo los usuarios de la comunidad de Salesforce podían obtener acceso a los registros personales de otros «hackeando» una URL. Esto implica escribir información manualmente en el campo URL de un navegador para ver otras páginas en lugar de navegar a ellas usando la interfaz de un sitio world wide web. Es una de las formas más básicas de piratería, ya que implica solo las habilidades técnicas más rudimentarias (además de algunas conjeturas inteligentes), y es una técnica que muchos han usado desde los primeros días de los navegadores world-wide-web para ver páginas que el administrador del sitio world wide web no vio. intención de que usted vea. Por ejemplo, un perfil corporativo para un empleado que dejó los enlaces de la empresa a su página se eliminó del sitio principal, pero los datos en sí no se eliminaron del servidor.
La mayoría de los diseñadores web en estos días están muy familiarizados con esta técnica y la solucionan con redireccionamientos de página y niveles de acceso a la cuenta, aunque todavía es posible en varios sitios.
En las páginas creadas por la comunidad de Salesforce, es posible ver los registros de otra persona, completos con información que debería ser privada, reemplazando la cadena de números de Id. de registro en la URL. Tendría que conocer el formato de ID de registro correcto, pero esto lo puede deducir cualquiera que esté familiarizado con el sistema o con habilidades básicas de reconocimiento de patrones.
Merrett señaló que los administradores podrían evitar el problema configurando niveles de acceso de invitados/usuarios para que sean más restrictivos o alterando la configuración para redirigir a cualquier usuario que intente cambiar la URL manualmente. Dado que los administradores tienen la capacidad de hacer esto, Salesforce no consideró el problema como un mistake de seguridad.
El escritor de seguridad Brian Krebs señaló la semana pasada que hubo varios casos en los que personas externas pudieron ver información privada (fechas de nacimiento, números de teléfono residenciales) en los registros de la foundation de datos. Algunos administradores incluso permitieron a los usuarios invitados sin cuentas de inicio de sesión ver la información, lo que dificulta aún más determinar quién pudo haber accedido a qué. Las instancias incluían detalles privados de los solicitantes del programa de Asistencia por Desempleo de Vermont, completos con nombres completos y números de seguro social, números de teléfono y direcciones residenciales, direcciones de correo electrónico e incluso números de cuentas bancarias.
Huntington Lender de Ohio también tenía un sitio de la comunidad de Salesforce con datos «filtrados» que revelaban toda la información anterior, además de detalles de nómina e información de préstamos. Los investigadores de seguridad dijeron que se habían puesto en contacto con los administradores en varios otros sitios con las mismas vulnerabilidades, a menudo recibiendo una negación o ninguna respuesta.
Reducir el error humano y mitigar la falta de habilidades del desarrollador
Podría decirse que el problema de Salesforce se debe a las malas políticas de administración que a las deficiencias técnicas. Si un sistema está mal configurado o la configuración de seguridad se “deja como predeterminada”, entonces el problema radica más en el nivel de habilidad del administrador y/o en los recursos de tiempo que en lo que debería poder hacer.
El director de seguridad de la información de Vermont, Scott Carbee, atribuyó el problema a «toneladas de aplicaciones» para obtener asistencia durante la pandemia de COVID-19, lo que llevó a que desarrolladores menos experimentados crearan sitios de Salesforce.
De manera very similar, una contraseña dejada como predeterminada (por ejemplo, en su enrutador wifi) o una contraseña demasiado basic/obvia en una cuenta de Gmail permite que ocurran problemas de seguridad, y la mayoría culparía al usuario sobre el sistema mismo, ya que tiene la capacidad de establezca contraseñas más seguras si lo desea. Salesforce incluso make guías sobre la mejor manera de configurar el acceso y la seguridad.
Pero, ¿y si el acceso no estuviera determinado por una contraseña? ¿Qué pasa si su acceso a una cuenta fue dictado por un token de acceso encriptado creado automáticamente y almacenado en una billetera electronic? Podría tener toda la seguridad de una contraseña segura sin tener que configurarla.
Los sistemas se pueden diseñar para minimizar la cantidad de trabajo que un usuario debe hacer para mantenerlos seguros. Cuanta más seguridad se integre en ese sistema en los niveles más altos, sin requerir una configuración adicional por parte de los administradores y usuarios individuales, mejor.
Necesita que su banco y su proveedor de seguros conozcan sus datos de contacto completos y el historial completo de interacción con la institución, pero eso no significa que desee que todos los empleados de esas instituciones puedan ver sus registros. Incluso hoy en día, la mayoría de las bases de datos en línea funcionan con esto en mente, pero los datos aún se filtran. Aunque existen estándares y bibliotecas, la mayoría de los sitios y sus funciones de seguridad se crean individualmente. Es posible que no sean tan seguros como parecen, y sus registros suelen ser incompatibles con otros sistemas externos. En última instancia, la mayoría de los usuarios ingresarán detalles privados (o harán que otros los ingresen) en bases de datos en línea sin saber qué tan seguras son.
Blockchain es la respuesta, y solo la cadena de bloques BSV
Un sistema de seguridad basado en tokens/cadenas de bloques permitiría crear bases de datos basadas en un único estándar con información almacenada en un registro universal de la verdad. Un token de identificación electronic encriptado con su información particular básica podría existir solo en un lugar, y el usuario otorga acceso solo cuando sea necesario. Los datos personales creados por las instituciones (p. ej., registros de préstamos o reclamaciones de seguros) también podrían tokenizarse, tal vez utilizando sub-tokens que aún otorgan a las personas la propiedad last y el management de acceso de los datos que les pertenecen, con registros de cómo se han utilizado esos datos.
Esto solo es posible en una crimson de cadena de bloques que procesa datos con prueba de trabajo (que se ha demostrado que es más seguro que otros protocolos como prueba de participación) y tiene suficiente capacidad de almacenamiento y procesamiento de datos para manejar tanta información como existe en World wide web hoy. A día de hoy, la cadena de bloques BSV es la única crimson con estas capacidades.
Cambiar el modelo de seguridad de datos de Online requiere un cambio fundamental, si no radical, en el enfoque para crear métodos sólidos de acceso a datos y un cambio cultural en el que las personas vean sus datos privados como algo que deben poseer y proteger en lugar de entregárselos a cualquiera que los solicite. . Sin embargo, se avecinan cambios radicales, ya sea que se use BSV o blockchain o no, ya que cada vez más nuestras vidas se basan en datos. Es mucho mejor tener esas conversaciones lo antes posible, antes de que sea demasiado tarde o antes de que las soluciones más mediocres se generalicen.
Mire a Gregory Ward: la cadena de bloques BSV es perfecta para la ciberseguridad
¿Nuevo en Bitcoin? Echa un vistazo a CoinGeek Bitcoin para principiantes sección, la guía de recursos definitiva para obtener más información sobre Bitcoin, tal como lo concibió originalmente Satoshi Nakamoto, y blockchain.