Shoemaker Ecco ha estado operando una base de datos mal configurada durante más de un año, exponiendo una gran cantidad de información confidencial a cualquiera que supiera dónde buscar.
Esto es según un nuevo informe de cibernoticias (se abre en una pestaña nueva), cuyo equipo de investigación identificó recientemente 50 índices Ecco expuestos al público. En total, la base de datos ha tenido más de 60 GB de datos confidenciales que han estado disponibles desde junio de 2021.
“Se pudo acceder a millones de documentos confidenciales, desde ventas hasta información del sistema. Cualquiera con acceso podría haber visto, editado, copiado y robado o borrado los datos”, dijeron los investigadores.
Solicitudes de API
Si bien Ecco intervino para remediar el problema mientras tanto, no comentaron sobre los hallazgos de Cybernews. La base de datos parece estar bloqueada ahora, dijeron los investigadores.
Mientras escaneaba la web en busca de bases de datos no seguras o mal configuradas, el equipo de investigación encontró una instancia expuesta que alojaba Kibana, un panel de visualización de ElasticSearch, para Ecco. Kibana, como explicaron los investigadores, ayuda a procesar la información de ElasticSearch.
La instancia que alojaba el tablero estaba protegida por una autenticación HTTP, pero el servidor estaba (mal) configurado de una manera que permitía el paso de las solicitudes de API. Usando esta laguna, los investigadores buscaron los nombres de los índices en ElasticSearch de Ecco y vieron 50 índices expuestos con más de 60 GB de datos.
Los datos contenían todo tipo de información confidencial, desde ventas y marketing, hasta registro e información del sistema, dijeron los investigadores. Un índice, sales_org, contiene más de 300.000 documentos. Un directorio llamado market_specific_quality_dashboard contenía más de 820 000 registros.
Hay varias formas en que un actor de amenazas podría hacer uso de la base de datos, explicaron además, diciendo que el código visible podría haberse cambiado, así como el nombre y las URL, todo para ejecutar campañas de phishing, robo de identidad (se abre en una pestaña nueva)o para engañar a las personas para que ejecuten malware y ransomware.
Además, la base de datos no es para un puesto local de Ecco, sino para el sitio web global ecco.com. En manos de un ciberdelincuente experimentado, los archivos podrían ser una herramienta importante para atacar a la empresa a nivel mundial. Tiendas Ecco, sus empleados, así como clientes y clientes.