En Escudo Digital hemos informado en unas cuantas ocasiones de brechas de seguridad que se producen porque compañías u organizaciones dejan archivos o bases de datos online accesibles a cualquiera y sin ninguna suerte de protección.
Y eso es lo que le habría ocurrido, precisamente, a una aplicación del ámbito de la hospitality llamada Hello Alfred.
Esta compañía, de origen neoyorquino, opera en en una veintena de ciudades de EE.UU. y permite a los propietarios y administradores de inmuebles gestionar distintos aspectos de sus propiedades. Es una solución integral con la pueden ofrecer servicios y mantenimiento en el hogar a los residentes.
El 'despiste' de Hello Alfred habría llevado a exponer nada menos que 170.000 registros con datos privados de usuarios, incluyendo información financiera delicada.
La filtración de datos, descubierta por investigadores el 19 de septiembre, reveló una preocupante lista de información comprometida: nombres, apellidos, direcciones de correo electrónico, números de teléfono, direcciones de hogar, tokens de autenticación, notas privadas, y detalles de registro de la aplicación, como fechas, direcciones IP, cookies y agentes de usuario.
Pero lo que eleva la alarma es la inclusión de detalles parciales de pago para suscriptores, tales como los últimos cuatro dígitos de las tarjetas de crédito, la fecha de vencimiento y los números de identificación de Stripe.
La respuesta inmediata de los propietarios para asegurar el acceso no puede ocultar la magnitud del desastre de privacidad. Y es que los usuarios pueden enfrentarse a fraude, suplantación y robo de identidad si los cibermalos han accedido a todos esos datos durante el tiempo que la base ha estado al alcance de cualquiera.
El origen y la consencuencia
La causa de este agujero fue una base de datos MongoDB accesible públicamente, con al menos tres direcciones IP indexadas sin contraseña, según ha revelado Bob Diachenko, CEO de SecurityDiscovery.
El riesgo de ataques de spearphishing se dispara, ya que los atacantes podrían aprovechar los detalles de contacto y pagos parciales para diseñar campañas de ataque dirigidas, resultando en estafas financieras. Los últimos cuatro dígitos de las tarjetas de crédito podrían convertirse en una herramienta peligrosa para engañar a las víctimas y obtener información bancaria adicional.