Blink Mobility, empresa estadounidense que proporciona un servicio de coches eléctricos compartidos, ha sufrido una brecha de seguridad, dejando al descubierto datos de sus usuarios.
La compañía de carsharing no había configurado correctamente una base de datos de MongoDB, lo que hacía que esta fuera de dominio público.
El problema fue detectado por el equipo de Cybernews el pasado 17 de octubre. Al estar a abierta sus metadatos habían sido indexados por los motores de búsqueda, lo que facilitaba su visualización.
La investigación reveló que la base contenía 181.000 registros pertenecientes a más de 22.000 usuarios, en su mayoría sobre alquiler de coches.
Entre los detalles expuestos hay números de teléfono, direcciones de email, contraseñas cifradas, fechas de registro, información y token del dispositivo, así como datos sobre la suscripción y vehículos alquilados (matrícula, VIN, lugar de inicio y fecha de la reserva, etc).
Por ahora no hace declaraciones
El mismo día que Cybernews se percató del incidente lo puso en conocimiento de la compañía afectada y dos días después ya no se podía acceder a la base de datos.
“Cualquiera con un visor de MongoDB podría haber accedido a la base de datos pública. Si los actores maliciosos lo descubrieran primero, podía haberse infiltrado en dicha filtración, bloquear los datos y exigir un rescate. Con suerte, nuestro equipo fue el primero en darse cuenta y advertir a la empresa. Sin embargo, las personas expuestas deben tomar algunas precauciones, ya que sus datos estuvieron brevemente a la vista”, aconsejan los investigadores de Cybernews.
El servicio BlueA de Blink Mobility ofrece sus vehículos eléctricos en más de 40 ubicaciones en Los Ángeles. Por ahora la compañía no se ha manifestado públicamente respecto a esta exposición de datos.