Brecha de datos en Fieldwork expone información personal, números de tarjetas de pago y códigos de seguridad

Los especialistas en servicios de ciberseguridad Noam Rotem y Ran Locar, de la firma de seguridad vpnMentor descubrieron recientemente una base de datos expuesta perteneciente a Fieldwork, una firma de software de gestión de operaciones para pequeñas y medianas empresas. La investigación completa está disponible en el siguiente enlace.

Los expertos afirman que descubrieron una gran cantidad de datos expuestos almacenados en la base de datos. Entre la información comprometida se encontraban nombres completos, números de teléfono, dirección email, detalles de tarjetas de pago, entre otros datos de los clientes de Fieldwork.

“Contactamos a la compañía inmediatamente después de descubrir el incidente”, mencionan los expertos en servicios de ciberseguridad. “El equipo de seguridad de TI de Fieldwork se comportó de forma muy profesional y eficiente; menos de veinte minutos después de notificar la fuga, la base de datos había sido asegurada”, agregaron los expertos.

Lo más relevante del hallazgo es un enlace de inicio de sesión automático que permitía a cualquier usuario acceder al sistema backend de la compañía; los registros en el backend incluían detalles confidenciales de los clientes, así como múltiples datos sobre las actividades administrativas de la compañía. 

 Acorde a los expertos, la base de datos estuvo expuesta por alrededor de treinta días. Además, los expertos descubrieron que era posible acceder al portal de usuarios de la compañía, un factor potencialmente peligroso, pues actores de amenazas podrían acceder a todos los registros de los clientes almacenados por la compañía. Por si no fuera suficiente, los hackers podrían bloquear el acceso de la compañía a estas cuentas, simplemente realizando algunos cambios en el backend.

Los expertos en servicios de ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) consideran que, en caso de algún actor de amenazas haya usado la información expuesta, las posibles acciones fraudulentas tendrían un impacto significativo tanto para las compañías que trabajan con este software como para Fieldwork.

“Cuando un hacker logra infiltrarse en los sistemas de una compañía las posibilidades de comprometer las operaciones de una compañía son inmensas. Además, suspender sus actividades le costaría a la empresa miles de dólares en pérdidas, sin mencionar la posibilidad de que los datos confidenciales de los clientes lleguen a las manos equivocadas”, agregan los investigadores. 

(Visited 102,1 times)