Seguridad

La Universidad de Kentucky descubre una brecha gracias a un pentest

Hace unos días la universidad de Kentucky anunció que había sido víctima de una fuga de datos. Dicha fuga de datos se descubrió gracias a un pentest ejecutado sobre su infraestructura.

Durante una serie de pruebas, el equipo que llevaba a cabo el pentest encontró que era posible obtener acceso a las bases de datos de una aplicación de test de prácticas para el carnet de conducir. Tras investigar esta fuente de acceso llegaron a la conclusión de que esta vulnerabilidad había sido explotada anteriormente a principios de año por otro actor aún desconocido.

Mediante esta vulnerabilidad, se pudieron extraer email y contraseña de más de 350.000 usuarios, no solo de la universidad de Kentucky. El alcance total afecta a personas de 50 estados distintos dentro de Estados Unidos y al menos a otros 22 países. El uso de este programa está tan extendido gracias a que es parte de un proyecto pionero de la Universidad de Kentucky para la digitalización de la enseñanza conocido como OTIS (Open-source Tools for Instructional Support).

Tras parchear dicha vulnerabilidad el servicio en cuestión vuelve a estar en marcha y la Universidad de Kentucky está notificando a los afectados por la brecha. A su vez, ha aumentado el presupuesto destinado a la securización de la infraestructura y propuesto una serie de puntos claves a llevar a cabo a corto plazo.

No es la primera vez que en este blog hablamos de un ciberataque a una universidad. Hace poco hablábamos de un ciberataque a la universidad de Utah y en el pasado se ha hablado de otras universidades por causas similares. Parece que estas se han convertido en un objetivo de alto valor para diversos actores. Desde Hispasec recomendamos a las universidades auditar su infraestructura de manera periódica.

Enlaces de interes

http://uknow.uky.edu/campus-news/uk-cyber-inspection-detects-breach-initiates-additional-security-measures

https://www.uky.edu/its/cyberresponse

La entrada La Universidad de Kentucky descubre una brecha gracias a un pentest se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.