Un lapso de seguridad en la cuarta red celular más grande de Canadá, Freedom Mobile, expuso los datos de los clientes.
Los investigadores de seguridad Noam Rotem y Ran Locar encontraron un servidor de Elasticsearch que pierde cinco millones de registros que contienen datos de clientes. El servidor no estaba protegido con una contraseña, lo que permitía a cualquier persona acceder a los datos.
Rotem y Locar, quienes compartieron sus hallazgos exclusivamente con TechCrunch y publicaron su informe en vpnMentor, dijeron que el gigante de la célula se demoró una semana en asegurar la base de datos con fugas después de la primera comunicación.
Se cree que la base de datos es parte de un sistema de registro utilizado por la compañía para determinar errores y fallas en los sistemas de la compañía. La base de datos registró todos los errores y los datos de texto sin formato asociados, incluidos los datos del cliente.
Los datos vistos por TechCrunch revelan nombres de clientes, direcciones de correo electrónico, números de teléfono, direcciones postales, fechas de nacimiento, tipos de clientes y números de cuenta de Freedom Mobile.
Los registros también responden a las verificaciones de crédito presentadas a través de Equifax, que incluyen detalles sobre si una solicitud fue aceptada o rechazada, junto con el motivo.
También encontramos números completos de tarjetas de crédito, fechas de caducidad y números de verificación almacenados en texto sin formato.
Ninguno de los datos fue encriptado.
Freedom Mobile tiene más de 1,5 millones de clientes en todo Canadá, de acuerdo con sus últimas ganancias financieras. Chethan Lakshman, portavoz de la empresa matriz de Freedom Mobile, Shaw Communications, dijo que cerca de 15,000 clientes se vieron afectados.
"Hemos descubierto que los datos que se expusieron estaban contenidos para un número muy pequeño de clientes que habían abierto o realizado cambios en sus cuentas en 17 tiendas minoristas de Freedom Mobile del 25 de marzo al 15 de abril, y cualquier cliente que realizó cambios o abrió sus puertas. Cuentas el 16 de abril ”, dijo. "Nuestra investigación ha revelado que se expuso una cantidad muy limitada de datos de clientes de Freedom Mobile como resultado de un servidor mal configurado administrado por Apptium, un nuevo proveedor de servicios externo que Freedom Mobile se ha comprometido a optimizar nuestros procesos de soporte al cliente minorista".
Una investigación forense está en marcha, dijo el portavoz.
Apptium no devolvió una solicitud de comentario.
Es lo último en una serie de exposiciones de datos luego de fallas de seguridad que no lograron proteger las bases de datos con medidas de seguridad básicas. A principios de este año, Rotem y Locar descubrieron que el gigante chino de compras en línea Gearbest expuso inadvertidamente millones de pedidos de clientes. Ahora, los investigadores dicen que la fuga de datos de Freedom Mobile podría ser una de las más grandes de Canadá. La más cercana fue la violación de datos de Bell Canada en 2017, en la que los piratas informáticos obtuvieron más de 1.9 millones de registros de clientes.
El acceso a los datos de las tarjetas de crédito y los datos de puntaje de crédito sería una gran ayuda para los estafadores y ladrones de identidad que desean cobrar.
Un portavoz de la autoridad de protección de datos de Canadá, la Oficina del Comisionado de Privacidad, confirmó que "recibió un informe de violación relacionado con Freedom Mobile" y "examinará el informe para determinar los próximos pasos".
Lee mas: