Recientemente, se ha descubierto que un archivo de respaldo de SQL Server, con un peso de 4TB y perteneciente a la firma global Ernst & Young (EY), fue expuesto públicamente en Microsoft Azure. El hallazgo, realizado por la empresa de ciberseguridad Neo Security durante una auditoría rutinaria de activos, evidencia que incluso organizaciones con grandes recursos pueden dejar datos sensibles vulnerables ante los escáneres automáticos que recorren internet constantemente.
¿Cómo se descubrió la exposición?
El investigador principal de Neo Security identificó el archivo mientras analizaba el tráfico pasivo de red usando herramientas de bajo nivel. Una simple petición HEAD, que permite obtener metadatos sin descargar el archivo completo, reveló el tamaño masivo del fichero: 4TB, equivalentes a millones de documentos almacenados. El nombre del archivo dejaba claro que se trataba de un .BAK (respaldo completo de SQL Server), normalmente conteniendo esquemas, datos de usuarios y secretos embebidos como claves API, credenciales y tokens de autenticación.
Las primeras búsquedas en Azure Blob Storage no arrojaron pistas sobre su propiedad. Sin embargo, un análisis más profundo desveló documentos de fusiones escritos en una lengua europea, traducidos con herramientas como DeepL, que apuntaban a una adquisición realizada en 2020. Un chequeo del registro SOA de DNS vinculó el dominio a ey.com, confirmando la implicación de EY. Para evitar problemas legales, Neo Security solo descargó los primeros 1.000 bytes del archivo, descubriendo la firma (“magic bytes”) característica de un respaldo sin cifrar de SQL Server.
¿Por qué es preocupante?
El riesgo no es teórico. Neo Security, basándose en su experiencia real en respuesta a incidentes, recuerda el caso de una fintech comprometida por la exposición de un archivo .BAK durante tan solo cinco minutos: los atacantes lograron exfiltrar datos personales y credenciales, lo que derivó en ransomware y la eventual quiebra de la compañía.
En el contexto actual, los botnets pueden escanear el espacio IP global en cuestión de minutos, incrementando la probabilidad de compromiso casi de inmediato en caso de exposiciones. Por ello, tras detectar el incidente, Neo Security optó por una divulgación responsable contactando a la CSIRT de EY, logrando finalmente respuesta vía LinkedIn tras 15 intentos.
Respuesta y mitigación de EY
EY actuó de manera rápida y profesional, gestionando y resolviendo el incidente en una semana. La compañía comunicó a Cyber Security News que la exposición fue detectada meses atrás y solucionada inmediatamente, sin afectar información de clientes ni datos confidenciales. El problema se localizó en una entidad adquirida por EY Italia y no estaba conectado a sistemas globales de EY en la nube.