FitMetrix deja filtrar millones de datos de clientes para los cibercriminales

  • 0 Respuestas
  • 1322 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado graphixx

  • *
  • Ex-Staff
  • *****
  • Mensajes: 1287
  • Actividad:
    0%
  • Reputación 17
  • Científico de BIG DATA
  • Skype: [email protected]
    • Ver Perfil
    • Sistemas y Controles


FitMetrix deja al descubierto millones de datos de clientes, a los que han accedido cibercriminales

FitMetrix, quien realiza software para controlar el rendimiento de los clientes que vayan al gimnasio, y que es customizable para exponer la marca del mismo, ha expuesto millones de registros de clientes, porque estaban manteniendo unos servidores en la nube completamente expuestos a todo el mundo.

Para colmo, los cibercriminales accedieron a estos registros antes de que el acceso público a estos fuese cerrado, intentando cifrar los contenidos de la base de datos con un ransomware, el cual solo dejo la nota de rescate, debido a que el script fallo.

El equipo de seguridad Hacken se topó con una base de datos abierta mientras buscaban en Shodan buckets de Elasticsearch que fueran accesibles. Elasticsearch es una base de datos que almacena, recoge, y maneja datos semiestructurados u orientados a documentos. Eso, como cualquier otra base de datos de tipo no-SQL como MongoDB, es un objetivo popular para los cibercriminales, de acuerdo con Hacken.

De acuerdo con Bob Diachenko, director de investigación de ciberriesgo en Hacken, la base de datos contenia unos 119GB de datos con dos índices diferentes: El número total de registros en "platformaudit" era de 122.869.970; y el número total de registros era de 113.521.722.



Cuando Diachenko encontró la base de datos el día 5 de este mes, no se necesitaba ninguna contraseña para ver los datos. La información incluía una auditoria diaria de la plataforma FitMetrix, almacenada desde el 15 de Julio hasta el 19 de septiembre, incluyendo información del perfil del cliente.

Hacken encontró que esta información del perfil incluía información personal como el nombre, genero, correo electrónico, fecha de nacimiento, contacto de emergencia y el parentesco de este, su apodo, talla de zapatos, altura y peso, ID de Facebook, teléfono móvil, teléfono de casa y nivel de actividad. En otras palabras, todo lo necesario para realizar ataques de ingeniería social convincentes.

Dejar las bases de datos almacenadas en la nube abiertas de cara al público es un problema muy común, que ha resultado en muchas fugas de datos estos años.

Recientemente, en GoDaddy pasó algo similar cuando un almacenamiento en la nube mal configurado expuso configuración para decenas de sistemas que estaban en su infraestructura de hosting (y opciones de precios competitivos para tener en marcha esos sistemas).

Fuente: blog.segu-info.com.ar
« Última modificación: Octubre 16, 2018, 01:47:07 pm por graphixx »

 

Algoritmos para engañar a algoritmos

Iniciado por Dragora

Respuestas: 0
Vistas: 510
Último mensaje Agosto 06, 2020, 12:46:02 am
por Dragora
"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 2977
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 278
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3236
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 3166
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert