Especialistas en protección de datos de la firma de seguridad Safety Dectectives y CNET han descubierto una brecha de datos masiva (casi 900 GB de información comprometida) originada en un servidor establecido en China; el servidor expuesto ya ha sido cerrado.
El servidor expuesto es una implementación de Elastic y expone la información personal de millones de ciudadanos chinos. Los expertos, liderados por el reconocido investigador Anurag Sen, descubrieron que la información expuesta fue recolectada y almacenada por más de 100 desarrolladores de aplicaciones, sobre todo servicios de préstamos bancarios en el país asiático.
Acorde a los expertos en protección de datos, entre la información personal comprometida destacan detalles como:
- Historial crediticio del usuario
- Información sobre gestión de riesgos financieros
- Números de identidad personal
- Nombres completos
- Dirección
- Detalles de contacto (número telefónico, email, etc)
Además de los detalles personales, los expertos también descubrieron que el servidor almacenaba información sobre los dispositivos empleados por los usuarios de estas apps, como marca y modelo del smartphone, lista de contactos, detalles de ubicación, dirección IP, números IMEI, compañía operadora de red móvil, entre otros datos.
Los especialistas en protección de datos consideran que esta base de datos es una muestra de las invasivas actividades de seguimiento que las compañías realizan a diario sobre los usuarios de tecnología. Por supuesto, toda esta información no sólo es útil para las compañías tecnológicas y de marketing interesadas en vendernos un nuevo smartphone o cosas por el estilo, sino que también son un objetivo predilecto para los grupos de hackers dedicados a diversas actividades ilícitas, como el fraude de identidad.
Algo especialmente inquietante de este hallazgo es el hecho de que los operadores de estas bases de datos sean apps que ofrecen préstamos, pues el historial de estas solicitudes también queda registrado en línea, lo que podría influir negativamente en la planeación financiera de los usuarios afectados. Además, del mismo modo que sucede en otros incidentes similares, es posible que esta enorme base de datos ya esté disponible para su compra o venta en foros de dark web.
Debido a las débiles medidas de seguridad en muchas compañías que prestan servicios en línea, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que la mejor opción para proteger su información personal sigue siendo la prevención. Al resguardar de la mejor forma posible nuestros datos es menos probable que compañías poco confiables o grupos de actores maliciosos tengan acceso a detalles confidenciales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
