martes, 30 de abril de 2019

Base de datos no protegida expone información personal de 80 millones de hogares estadounidenses


Un equipo de investigadores de seguridad afirma haber encontrado una base de datos de acceso público que expone información sobre más de 80 millones de hogares en los EE. UU., Casi el 65 por ciento del número total de hogares estadounidenses.

Descubierta por el equipo de investigación de VPNMentor liderado por los hacktivistas Noam Rotem y Ran Locar, la base de datos no segura incluye 24 GB de información extremadamente detallada sobre hogares individuales, incluidos sus nombres completos, direcciones, edades y fechas de nacimiento.

La base de datos masiva que se aloja en un servidor de la nube de Microsoft también contiene información codificada anotada en "valores numéricos", que los investigadores creen que se relaciona con el género, el estado civil, el nivel de ingresos, el estado y el tipo de vivienda de los propietarios.

Afortunadamente, la base de datos no protegida no contiene contraseñas, números de seguridad social ni información de tarjetas de pago relacionada con ninguno de los hogares estadounidenses afectados.

Los investigadores verificaron la precisión de algunos datos en el caché, pero no descargaron los datos completos para minimizar la invasión de la privacidad de los afectados.

El equipo de investigación descubrió la base de datos accidentalmente mientras ejecutaba un proyecto de mapeo web utilizando el escaneo de puertos para examinar los bloques de IP conocidos con el fin de encontrar agujeros en los sistemas web, que luego examinan para detectar debilidades y fugas de datos.

Por lo general, el equipo alerta al propietario de la base de datos para informar la fuga para que la empresa afectada pueda protegerla, pero en este caso, los investigadores no pudieron identificar al propietario de la base de datos.

"A diferencia de las filtraciones anteriores que hemos descubierto, esta vez no tenemos idea de a quién pertenece esta base de datos", dice el equipo en una publicación de blog. "Está alojado en un servidor en la nube, lo que significa que la dirección IP asociada no está necesariamente conectada a su propietario".

La base de datos no segura estuvo en línea hasta el lunes y no requirió ninguna contraseña para acceder, que ahora se ha desconectado.

Dado que cada entrada en la base de datos termina con 'member_code' y 'score' y ninguna de las personas en la lista tiene menos de 40 años, los investigadores sospechan que la base de datos podría ser propiedad de una compañía de seguros, atención médica o hipotecaria.

Sin embargo, en la base de datos falta información sobre políticas o números de cuenta, números de seguridad social y tipos de pago que alguien pueda esperar encontrar en una base de datos propiedad de corredores o bancos.

Luego, los investigadores llamaron al público el lunes para ayudarles a identificar quién podría ser dueño de la base de datos en cuestión para que se pueda proteger.

Aunque la base de datos no expuso información confidencial de tarjetas o SSN, los datos divulgados son suficientes para preocuparse por el robo de identidad, el fraude, las estafas de suplantación de identidad (phishing) e incluso la invasión de hogares.

Rotem es el mismo investigador de seguridad que a principios de este año encontró una grave vulnerabilidad en el popular sistema de reserva de boletos de vuelos en línea Amadeus que podría haber permitido a los piratas informáticos remotos ver y modificar los detalles de los viajes de millones de los principales clientes de aerolíneas internacionales e incluso reclamar sus millas de viajero frecuente.


No olvides Compartir...


Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario