Informe de incidentes en la base de datos.

MÓDULO: Administración de base de datos.

SEMANA: 9.
Docente: Daniela Iturriaga.
Estudiante: Sebastian Olmos.

1
Índice

Introducción.........................................................................................................................3
Objetivos del trabajo..........................................................................................................5
Desarrollo.............................................................................................................................6
Conclusión...........................................................................................................................8
Bibliografía.........................................................................................................................10

2
Introducción

Fundada en 1997, Heartland Payment Systems Inc. (Heartland), con sede principal en
Oklahoma, nacida con la principal misión de ayudar a crecer los negocios pequeños,
hoy es una empresa que funciona de manera global manteniendo aun su principal
misión, es un proveedor de tecnología y procesamiento de pagos actuando como un
intermediario que recibe y almacena información de pago del consumidor. Heartland
hace esto recopilando datos de un negocio y luego enviándolos al proveedor de la
tarjeta correspondiente para el pago. Esto incluye detalles de tarjetas de crédito, datos
personales de clientes y montos de compras de proveedores de tarjetas como Visa,
Master Card y American Express.

Con el tiempo Heartland Payment Systems se volvió importante en Estados Unidos

debido al manejo de grandes cantidades de dinero que procesaba, convirtiéndose en
un blanco para los hackers. En 2009, Heartland Payment Systems anunció que su base
de datos había sido pirateada y, durante varios meses, la información de tarjetas de
crédito de cientos de millones de clientes había sido robado. Los hackers utilizaron una
estrategia llamada inyección de SQL, la cual consiste en insertar código propio en el
algún punto débil del sistema atacado, para de esta manera obtener información y
controlar la base de datos y la información de sus usuarios. El pobre diseño del sistema
facilito el trabajo para los hackers con un protocolo de seguridad casi nulo. Los
atacantes pudieron inyectar código en una aplicación web programada de manera
deficiente para ingresar a la base de datos. Una vez dentro del sistema, los piratas
informáticos utilizaron un programa llamado “network sniffers”, programas capaces de
tomar copias instantáneas de los datos que fluyen a través de una red sin redirigirlos ni
alterarlos. Algunos rastreadores funcionan solo con paquetes TCP/IP, pero las
herramientas más sofisticadas funcionan con muchos otros protocolos de red, de esta
manera robaron los datos de las tarjetas de crédito. Los datos robados resultaron en
daños estimados en $300 millones. En febrero del 2018 los dos hackers rusos fueron
sentenciados a 16 años de prisión.

3
En este informe se determinará una estrategia de resolución de los problemas que tuvo
la empresa Heartland Payment Systems en su seguridad, revisando las posibles
causas que pudieron dar lugar al ataque y proponiendo una solución.

4
Objetivos del trabajo

El objetivo general del trabajo es analizar el caso de Heartland para de esta manera
comprender sobre la seguridad en la administración de las bases de datos, y los
objetivos específicos del trabajo la clasificación de incidentes, la creación de reportes
de incidentes y posibles soluciones a estos mismos.

5
Desarrollo

Utilizando los criterios enseñados para clasificar el incidente de seguridad durante las
clases, se considera que este incidente es de impacto alto ya que afecta directamente
los objetivos de la organización, afectando su imagen y credibilidad, al ser de alto
impacto la prioridad del incidente es de nivel superior, requiriendo un tiempo de
respuesta superior, ya que, la información comprometida es de miles de millones de
usuarios, pudiendo hasta causar el cierre de la empresa.

A continuación, se mencionarán alguno de los problemas detectados, detallando

además su contención, erradicación y recuperación.

1.- Falta de chequeos de vulnerabilidad: Como se dijo anteriormente, todo el

incidente se llevó a cabo mediante una inyección de SQL, uno de los ataques más
simples y conocidos aun para el año en que sucedió el ataque, al igual de simple que
es ejecutar el ataque es la solución, habiendo varias opciones para prevenir estas, por
ejemplo, el uso de declaraciones preparadas con vinculación de variables (también
conocidas como consultas parametrizadas).

Esto pudo haberse detectado a tiempo, considerando el tamaño de la empresa, con

planes automáticos de seguridad y/o una mejor capacitación para el equipo de
informáticos para que sigan protocolos de seguridad y buenas prácticas.

2.- Una política de contraseñas débiles o inexistentes: Los atacantes pudieron

obtener acceso mediante credenciales validas de Windows, para esto utilizaron un
diccionario con las contraseñas más comunes y utilizadas, y mediante la prueba de
todas estas pudieron dar con alguna contraseña débil y ganar acceso al sistema, una
contramedida para esto podría se mediante una lista negra de las contraseñas más
comunes y requerimientos específicos para la contraseña como la inclusión de
mayúsculas o números en esta.

3.- Ausencia de un proceso de revisión de logs: El sistema de log es un

componente clave para identificar problemas o información de los sistemas, los
atacantes estuvieron meses intentando ingresar a los módulos de seguridad (HSMs),
6
mediante “Brute force”, lo que debería haber arrojado cientos de errores en la consola y
quedar guardados en los logs, es presumible que el equipo de informáticos no tenían
un sistema robusto de logs, ya que debieron contratar a un equipo externo para
detectar la falla.

Fecha 20/05 Hora 19:00 del llenado del reporte

Nombre completo: Sebastian Alejandro Olmos Cordero.
Área: TI Departamento: Informática
Email: sebastian.olmosc@correoaiep.cl
Teléfono laboral: +569 37472846 Teléfono personal: +569 30953450

Fecha 19/05 Hora 3:25 en que se produjo el incidente.

Uso indebido de información. Cambio en la configuración del equipo.
Uso inadecuado de recursos informáticos. Ataque o infección de malware o código
malicioso. (virus, troyano, etc.).
Divulgación no autorizada de información Acceso o intento de acceder a un sistema
personal. informático.
Acceso o intrusión física. Perdida o Uso indebido de correo electrónico
destrucción no autorizada de información. institucional.
Anomalía o vulnerabilidad técnica del Robo o pérdida de equipo. Robo o pérdida
software. de información.
Modificación, instalación o eliminación de Otro no incluido:
software.
Detección del incidente: Se descubrió un software malicioso que aparentemente
permitió a los hackers robar los datos.
Describa brevemente como se detectó el incidente: Visa primero alertó a Heartland
sobre "actividades sospechosas en torno a ciertas cuentas de titulares de tarjetas", y esto
llevó a la empresa a llamar al Servicio Secreto de EE. UU. y contratar a dos equipos para
investigar.
El incidente aún se encuentra en progreso: SI NO

Tiempo aproximado de duración del incidente: Se estima que el ataque comenzó en

diciembre del 2007 hasta enero del 2009.

7
Conclusión

El ataque que sufrió heartland es probablemente en el que más información se haya

filtrado, el cual se ha convertido en un caso de estudio sobre como las buenas
practicas a la hora de programar, un buen diseño y por sobre todo un sistema robusto
puede ayudar a detectar o impedir completamente un ataque. Después de este
incidente, la compañía se tomó muy en serio la seguridad, siendo re enlistada en los
servicios de VISA y siendo llamados un estándar en la encriptación dentro de la
industria.

La seguridad de una base de datos debe estar presente desde el diseño hasta la
programación de esta, ya que, se manejan grandes cantidades de información
confidencial, la cual debe trabajar en conjunto con la aplicación web para evitar ataques
SQLI como sucedió en el caso de heartland.

Este caso nos deja ver como los programadores podemos influir aun después de haber
entregado un producto, ya sea para bien o para mal, y en este caso específico
costando a la empresa más de 300 millones de dólares, por esto es muy importante
brindar la máxima seguridad posible al momento de entregar un proyecto de estas
características y magnitud.

8
Bibliografía

Cingolani, Alessandro & Matteo, Zamparini. (2019). Heartland Data Breach Analysis.
10.13140/RG.2.2.32815.36008.

SQL injection prevention - OWASP cheat sheet series. (s/f). Owasp.org. Recuperado el
20 de mayo de 2023, de
https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_She
et.html