El Open Worldwide Application Security Project (OWASP) sufrió una filtración de datos a finales de febrero de 2024 que provocó la exposición de datos confidenciales de algunos de sus miembros.
En un anuncio publicado en el sitio web de OWASP, el director ejecutivo Andrew van der Stock confirmó la infracción y explicó que ocurrió debido a una mala configuración de un antiguo servidor web Wiki de OWASP.
Como resultado, un actor de amenazas anónimo obtuvo acceso a currículums pertenecientes a fuente abierta fanáticos que se unieron entre 2006 y 2014.
Notificar a los miembros afectados
«OWASP recopiló currículums como parte del proceso de membresía inicial, mediante el cual se requirió que los miembros en la era de 2006 a 2014 mostraran una conexión con la comunidad de OWASP», explicó van der Stock. «OWASP ya no recopila currículums como parte del proceso de membresía».
A través de estos currículums, dijo además van der Stock, los actores de amenazas obtuvieron nombres, direcciones de correo electrónico, direcciones postales, números de teléfono y «otra información de identificación personal» de las personas. Suficiente para participar en phishing o el robo de identidad.
Dado que los datos se recopilaron entre 2006 y 2014, es muy probable que estén desactualizados. En ese caso, dice el jefe de OWASP, los miembros no necesitan actuar. Quienes crean que la información aún está actualizada, deben tener cuidado al recibir mensajes SMS, llamadas y correos electrónicos. Se dijo que el proyecto intentará notificar a las personas afectadas, pero dada la antigüedad de los datos archivados, podría ser un desafío.
“Como muchas de las personas afectadas por esta violación ya no están en OWASP y la antigüedad de los datos es de entre diez y 18 años, una gran cantidad de datos personales incluidos en esta violación están significativamente desactualizados, lo que dificulta el contacto. » Fue dicho. «De todos modos, nos comunicaremos con las direcciones de correo electrónico descubiertas durante nuestras investigaciones».
OWASP es una organización sin fines de lucro de seguridad de software, con miles de miembros y frecuentes conferencias de capacitación en todo el mundo.