SimpleTire, una empresa que vende llantas para automóviles y servicios relacionados, mantuvo una base de datos no segura con datos confidenciales de millones de clientes en línea, disponible para cualquiera que supiera dónde buscar.
Esto es según el investigador de seguridad cibernética Jeremiah Fowler, quien dice que se expusieron más de un millón de registros de clientes, incluidos datos como confirmaciones de pedidos de clientes, con detalles como nombres completos, números de teléfono, direcciones postales y números de tarjetas de crédito parciales con fechas de vencimiento. .
El tamaño de la base de datos expuesta fue de 1 TB, con un número exacto de registros de 2 808 697. Además de lo mencionado anteriormente, también incluía información de ventas al por mayor, referencias a instaladores autorizados, solicitudes de reembolso e imágenes de ventas y promociones.
Riesgo significativo
Quizás lo más preocupante es el hecho de que la base de datos contenía los últimos cuatro dígitos de la tarjeta de crédito de una persona. Casi todos los primeros números de identificación del emisor (IIN) de tarjetas de crédito de 6 dígitos se pueden encontrar en línea, lo que significa que un actor de amenazas potencial ahora puede tener 10 de los 16 números en total. Fowler especula que adivinar los seis números restantes podría hacerse «casi instantáneamente» con el software adecuado.
“En este caso, el nombre del cliente, la dirección de su casa e incluso la fecha de vencimiento de la tarjeta quedaron expuestos, lo que hace que el riesgo sea aún más grave que simplemente adivinar los números que faltan”, explica Fowler.
“Esta exposición de datos podría usarse en combinación con hacks o filtraciones anteriores para hacer referencias cruzadas e identificar fácilmente el número completo de la tarjeta. A diferencia de una simple exposición de la tarjeta, el delincuente tendría información adicional para crear un perfil de información completo sobre su víctima. El número completo de la tarjeta combinado con los nombres, domicilios, fecha de vencimiento y otra información extraída de las confirmaciones de pedidos podría representar un riesgo significativo”.
Ese riesgo significativo incluye todo tipo de estafas en línea, desde fraude electrónico hasta robo de identidad y fraude en declaraciones de impuestos. Fowler contactó a SimpleTire a través de «varias direcciones de correo electrónico» y dice que la compañía tardó más de tres semanas en reaccionar y bloquear la base de datos. Sin embargo, nunca volvió a él.
Nos comunicamos con SimpleTire para obtener un comentario y actualizaremos el artículo si recibimos una respuesta.
La empresa afirma tener más de 10.000 instaladores y más de 3.000 puntos de suministro independientes. Emplea a «cientos de personas» y apoya a «miles de empresas locales».
Vía: Website Planet