Honda se ha convertido en la última gran marca que expone la información personal de innumerables clientes debido a una mala configuración en la nube.
El negocio del fabricante de automóviles en Estados Unidos filtró registros de 26.000 clientes únicos gracias a un clúster de Elasticsearch no seguro, según el investigador de seguridad, Bob Diachenko.
El experto encontró 976 millones de registros en total en la base de datos expuesta, incluyendo un millón que contenía información sobre los propietarios de Honda y sus vehículos.
Aunque no pudo confirmar el volumen de registros expuestos, Honda situó la cifra en menos de 30.000.
“Estamos basando este número en una revisión detallada de las bases de datos de este servidor, eliminando la información duplicada y eliminando los datos que no contienen PII de los consumidores”, dijo en una declaración enviada a Diachenko. “También podemos decir con certeza que no había ninguna información financiera, de tarjetas de crédito o de contraseñas expuestas en esta base de datos”.
En el lado positivo, la compañía actuó rápidamente para resolver el problema de seguridad, cerrando el servidor el 13 de diciembre, justo un día después de haber sido informada. Sin embargo, afirmó que la mala configuración ocurrió el 21 de octubre y que la base de datos fue indexada por primera vez por el motor de búsqueda BinaryEdge el 4 de diciembre, dejando tiempo suficiente para que los hackers busquen y encuentren el tesoro.
Diachenko advirtió que podría utilizarse para elaborar convincentes correos electrónicos de seguimiento de phishing.
“El problema de seguridad que identificó podría haber permitido potencialmente a terceros acceder a algunos de los datos personales de nuestros clientes. Investigamos rápidamente este problema, determinamos la brecha específica en el protocolo y tomamos medidas inmediatas para abordar la vulnerabilidad”, continuó la declaración.
“Honda continúa realizando la debida diligencia, y si se determina que los datos se vieron comprometidos, tomaremos las medidas adecuadas de acuerdo con las leyes y reglamentos pertinentes”.
El incidente se produce pocos meses después de que Honda filtrara 40 GB de datos en sus sistemas de seguridad internos, a través de otro servidor no seguro de Elasticsearch.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian