La fundación OWASP (Open Worldwide Application Security Project), que se dedica a la seguridad de software, advirtió recientemente a sus miembros sobre una posible brecha de datos que podría afectar a quienes tomaron parte de la organización entre los años 2006 y 2014.
En un comunicado hecho público el pasado viernes, la entidad reveló que a finales de febrero de este año descubrieron un antiguo servidor Wiki que albergaba currículums con hasta una década de antigüedad.
Conocida como «la organización sin fines de lucro más grande del mundo preocupada por la seguridad del software», OWASP cuenta con más de 250 capítulos en todo el mundo y decenas de miles de miembros.
El director ejecutivo de la Fundación OWASP, Andrew van der Stock, informó a los medios especializados en el tema, que aproximadamente mil currículums se encontraban en el servidor.
En principio, el director ejecutivo declaró que no cree que personal ajeno a la entidad haya accedido al servidor.
Pese a lo anterior, van der Stock señaló que una configuración incorrecta del servidor se remontaba al menos al año 2019, lo que dificulta determinar si hubo accesos no autorizados, pero comentó que el directorio donde se alojaban los currículums no estaba fácilmente accesible ya que no estaba indexado y estaba separado de la instalación Wiki de la organización.
En los últimos días la Fundación OWASP aconsejó a quienes fueron miembros entre 2006 y 2014 y que hayan enviado un currículum, asumir que su información puede haber sido comprometida.
La organización ha tomado una serie de medidas para abordar la situación, entre las que se cuentan la deshabilitación de la exploración de directorios, la revisión de la configuración de seguridad del servidor web y la eliminación por completo los currículums del sitio wiki, además de purgar el caché de CloudFlare y solicitar la eliminación de la información del Archivo Web.
OWASP también ha reconocido la importancia de la brecha, ofreciendo disculpas a los afectados y comprometiéndose a revisar sus políticas de retención de datos e implementar medidas adicionales de seguridad para prevenir futuras infracciones.
Aunque los afectados no necesitan tomar ninguna acción, OWASP advierte sobre la posibilidad de intentos de estafa si alguna información de los currículums sigue siendo válida, instando a la precaución en correos electrónicos y llamadas telefónicas no solicitadas.