16 oct. 2018

FitMetrix deja al descubierto millones de datos de clientes, a los que han accedido cibercriminales

FitMetrix, quien realiza software para controlar el rendimiento de los clientes que vayan al gimnasio, y que es customizable para exponer la marca del mismo, ha expuesto millones de registros de clientes, porque estaban manteniendo unos servidores en la nube completamente expuestos a todo el mundo.

Para colmo, los cibercriminales accedieron a estos registros antes de que el acceso público a estos fuese cerrado, intentando cifrar los contenidos de la base de datos con un ransomware, el cual solo dejo la nota de rescate, debido a que el script fallo.

El equipo de seguridad Hacken se topó con una base de datos abierta mientras buscaban en Shodan buckets de Elasticsearch que fueran accesibles. Elasticsearch es una base de datos que almacena, recoge, y maneja datos semiestructurados u orientados a documentos. Eso, como cualquier otra base de datos de tipo no-SQL como MongoDB, es un objetivo popular para los cibercriminales, de acuerdo con Hacken.

De acuerdo con Bob Diachenko, director de investigación de ciberriesgo en Hacken, la base de datos contenia unos 119GB de datos con dos índices diferentes: El número total de registros en "platformaudit" era de 122.869.970; y el número total de registros era de 113.521.722.
Cuando Diachenko encontró la base de datos el día 5 de este mes, no se necesitaba ninguna contraseña para ver los datos. La información incluía una auditoria diaria de la plataforma FitMetrix, almacenada desde el 15 de Julio hasta el 19 de septiembre, incluyendo información del perfil del cliente.

Hacken encontró que esta información del perfil incluía información personal como el nombre, genero, correo electrónico, fecha de nacimiento, contacto de emergencia y el parentesco de este, su apodo, talla de zapatos, altura y peso, ID de Facebook, teléfono móvil, teléfono de casa y nivel de actividad. En otras palabras, todo lo necesario para realizar ataques de ingeniería social convincentes.

Dejar las bases de datos almacenadas en la nube abiertas de cara al público es un problema muy común, que ha resultado en muchas fugas de datos estos años.

Recientemente, en GoDaddy pasó algo similar cuando un almacenamiento en la nube mal configurado expuso configuración para decenas de sistemas que estaban en su infraestructura de hosting (y opciones de precios competitivos para tener en marcha esos sistemas).

Fuente: ThreatPost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!