Una startup de préstamos de criptomonedas expuso montones de tarjetas de crédito de clientes y transacciones de usuarios durante casi un mes, porque se olvidó de proteger el servidor con una contraseña.
Los investigadores de seguridad Noam Rotem y Ran Locar encontraron la base de datos perteneciente a YouHodler, una plataforma de préstamos diseñada para criptomonedas, que afirma haber procesado $ 10 millones en préstamos a más de 3500 clientes. Los investigadores compartieron sus hallazgos exclusivamente con TechCrunch y para verificar la autenticidad de los datos. Los investigadores también escribió sus hallazgos.
Una vez que los investigadores informaron sobre la fuga de datos, la empresa desconectó la base de datos.
La base de datos contenía 86 millones de líneas de registros de actualización diaria de la plataforma de préstamos, que contenían flujos de registros y comandos de computadora basados en las interacciones de los usuarios en el sitio web de front-end. Eso también incluía información confidencial, como cada vez que se realizaba una transacción o un préstamo.
Entre los registros que revisamos, encontramos registros con suficiente información para realizar compras fraudulentas con tarjeta, como nombres, montos de transacciones y números de tarjetas de crédito, incluidos los números de verificación de la tarjeta (CVV) y las fechas de vencimiento.
Ninguno de los datos estaba encriptado.
Uno de los registros de transacciones que exponen datos de tarjetas de crédito sin cifrar (Imagen: TechCrunch)
Varios otros registros vistos por TechCrunch contenían información bancaria, incluidos nombres, direcciones, cuentas bancarias y números de ruta, códigos SWIFT y el monto de la transacción.
La base de datos también contenía números de teléfono de clientes y, en algunos casos, números de pasaporte, según los investigadores.
“La cantidad de información incluida en la base de datos hace que robar la identidad de un usuario sea una tarea sencilla”, dijeron Rotem y Locar.
Una vez que se aseguraron los datos, nos comunicamos con el director ejecutivo de YouHodler, Ilya Volkov, antes de la publicación, pero no recibimos respuesta.
Es la última base de datos expuesta en una serie de hallazgos recientes de los investigadores en los últimos meses.
Los investigadores habían encontrado previamente filtraciones de datos en la firma de Fortune 500 Tech Data, registros de usuarios expuestos y mensajes privados de la aplicación de citas judía JCrush y filtraciones de datos de la red celular canadiense Freedom Mobile y el minorista en línea Gearbest. A principios de julio, los investigadores encontraron una base de datos desprotegida perteneciente a Aavgo, que expuso las reservas de hoteles de los usuarios.
Lee mas:
Source link