Después de leer esta nota, tal vez prefiera seguir usando su bicicleta. El reconocido investigador de seguridad informática Bon Diachenko informó el hallazgo de una base de datos expuesta en línea, la cual contenía al menos 450 mil registros de la compañía de motocicletas Royal Enfield.
Entre la información comprometida se encuentran detalles confidenciales de los clientes de la firma que cuentan con un perfil de usuario en el sitio web de Royal Enfield, incluyendo nombres, direcciones email, números telefónicos, contraseñas cifradas e incluso enlaces a algunos perfiles de redes sociales.
En su informe, el especialista en seguridad informática menciona haber encontrado “tres direcciones IP con bases de datos erróneamente configuradas (en otras palabras, sin contraseña o inicio de sesión); la información expuesta sugiere que la base de datos es propiedad de Royal Enfield”. Además, Diachenko asegura que la base de datos incluye registros de “al menos mil 400 clientes y distribuidores destacados”.
Bob Diachenko menciona que detectó la vulnerabilidad el pasado 19 de enero, notificando de inmediato al equipo de seguridad informática de la compañía de motocicletas. Unas horas después, el acceso a la información comprometida había sido cerrado, no obstante, Diachenko cree que la información estuvo expuesta por al menos dos semanas. Ningún representante de Royal Enfield ha ofrecido declaraciones públicas respecto al incidente.
Diachenko ha colaborado en diversos informes sobre incidentes de brecha de datos recientemente, incluyendo a organizaciones gubernamentales como la Organización de Investigación Espacial de India (ISRO), el Centro de Investigación Atómica de Bhabha (BARC) y la Junta de Valores e Intercambios de India (SEBI), que se han visto comprometidas por errores de configuración de bases de datos. Las organizaciones afectadas han corrido con suerte, aunque en otros casos la información comprometida puede llegar rápidamente a las manos de los actores de amenazas, que venden estas bases de datos robadas en múltiples foros de hacking malicioso. Las bases de datos filtradas son objeto de deseo de los cibercriminales, especialmente cuando incluyen información financiera de las víctimas.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), los errores de los administradores de estas implementaciones son la principal causa de estos incidentes, por lo que las organizaciones deben actualizar sus métodos y establecer lineamientos de seguridad de datos más estrictos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad