Home Data Governance Argentina: Cadena de Tiendas Minoristas Filtra 800.000 Registros que Incluyen Datos de...

Argentina: Cadena de Tiendas Minoristas Filtra 800.000 Registros que Incluyen Datos de los Clientes y de Créditos

El investigador en seguridad Jeremiah Fowler en conjunto con el equipo de investigación de WebsitePlanet han descubierto recientemente una base de datos desprotegida (sin contraseña) que contenía los nombres e información personal de cientos de miles de Argentinos. Casi un millón de registros estaban expuestos públicamente a cualquier persona con conexión a Internet. Una carpeta llamada “Cliente” contenía 605.000 registros y otra llamada “cuenta crédito” tenía 280.000 registros. Esta es una de las filtraciones de datos de clientes mas grandes que hemos visto en mucho tiempo. La cual contiene, nombres y números de identificación, en texto simple, sin ningún tipo de encriptado.

Investigando más a fondo, resultó que los registros pertenecían a Hendel Hogar (hendel.com), una gran cadena tiendas que vende productos para el hogar en toda la provincia de Buenos Aires, Argentina. Según su sitio web, la empresa tiene 31 sucursales y comercializa electrodomésticos, computadoras, artículos para el hogar, herramientas, juguetes, piscinas, artículos de camping, cobertores y mucho más. De inmediato enviamos un aviso de divulgación responsable a la empresa y el acceso público se cerró ese mismo día. No se sabe con certeza cuánto tiempo estuvo expuesta la base de datos o quién más pudo haber accedido a ella.

Según su página de Facebook, “Hace más de 50 años que nuestros clientes confían en nosotros para acceder a aquellos productos que necesitan, y lo facilitamos otorgando un Crédito Personal propio a través de la Tarjeta Hendel.”

Qué contenía la base de datos:

  • Total de registros expuestos: 918.395 (que parecían ser únicos)
    Los registros internos de Hendel incluían nombres de los clientes, documento nacional de identidad (DNI), y datos financieros.
  • 725 registros identificados como “Cliente” que contenían lo que parecen ser los datos personales de los clientes, tales como nombre completo y número de documento.
  • Más de 283.000 registros etiquetados como “cuenta crédito”.
  • Si piratas informáticos malintencionados hubieran encontrado el servidor, los clientes expuestos podrían ser objeto de estafas a través de métodos de ingeniería social o robo de identidad.
  • Los archivos también muestran dónde se almacenan los datos y cómo funciona la red de inicio de sesión desde el “backend” o parte de desarrollo.
  • Se corría el riesgo de que la base de datos fuese el objetivo de un ataque de ransomware o de que fuese robada por ciberdelincuentes.

Nota completa: Website Planet