La Bolsa de Valores de Uganda (Uganda Securities Exchange o USE) ha sufrido un importante agujero de seguridad. Esta contaría con un servidor mal configurado, filtrando datos financieros y privados altamente confidenciales de sus clientes y entidades comerciales en todo el mundo.
En concreto, el servidor, al que se podía acceder sin ninguna autenticación de seguridad, pertenecía al Easy Portal de Uganda Securities Exchange.
Este portal online permite a los usuarios y empresas comprobar el rendimiento de sus acciones, el estado de sus cuentas, el saldo, etc.
Al no estar protegido, cualquier persona con un poco de conocimiento sobre cómo encontrar bases de datos no seguras podría conseguir información de nombre completo, nombres de usuario, dirección completa, fecha de nacimiento, fichas de acceso, número de teléfono, dirección de email, contraseñas de texto sIn formato, números de identificación, datos bancarios como la cuenta o el documento de identidad y detalles sobre ciudadanos extranjeros y empresas, incluyendo también ciudadanos con sede en Uganda. En total, eran 32 GB de datos.
El problema fue revelado a la web especializada Hackread.com por el investigador de ciberseguridad Anurag Sen, conocido por encontrar servidores expuestos y alertar a las autoridades pertinentes para que pongan remedio a dichas brechas.
La irresponsabilidad de la bolsa ugandesa
Pese al desaguisado, las autoridades parecen no haber hecho demasiado caso a los avisos ni del investigador ni de la web. Tanto Anurag como Hackread.com se pusieron en contacto con Uganda Securities Exchange y Uganda CERT (el equipo de respuesta a emergencias informáticas) mediante Twitter, correo electrónico y por teléfono, pero estos no respondieron.
Curiosamente, días después de estos avisos, el pasado 12 de junio el valor de los 32 GB se redujo a unos pocos MB. Desde la web especulan con que quizás las autoridades han querido mantener el incidente en secreto para eludir las críticas de los medios locales y las entidades afectadas por la violación.
Se desconoce si algún tercero ha aprovechado este agujero de seguridad con intenciones maliciosas. Si es así, considerando el alcance y naturaleza de los datos expuestos, el incidente podría tener implicaciones de gran alcance. Próximamente las víctimas de la filtración podrían recibir algún ataque de robo de identidad, phishing o estafas comerciales.