El gigante de los colchones y la ropa de cama Tuft & Needle dejó en un servidor en la nube desprotegido cientos de miles de etiquetas de envío de FedEx que contenían nombres de clientes, direcciones y números de teléfono.
Se encontraron más de 236 400 etiquetas de envío en un cubo de almacenamiento de Amazon Web Services (AWS) sin contraseña, lo que permitió que cualquiera que conociera la dirección web fácil de adivinar tuviera acceso a los datos del cliente. A menudo, estos cubos de almacenamiento de AWS están mal configurados por el propietario al configurarlos como “públicos” y no como “privados”.
Las etiquetas expuestas fueron creadas entre 2014 y 2017 durante los primeros años de la empresa. Tuft & Needle se fundó en 2012 en Arizona. Pero algunas etiquetas se imprimieron en 2018.
No se sabe por cuánto tiempo se dejó abierta la cubeta de almacenamiento.
Dos etiquetas de envío de clientes de los cientos de miles expuestos. Hemos redactado las etiquetas de envío para proteger la privacidad de los clientes. (Captura de pantalla: TechCrunch)
Compañía de pruebas de penetración con sede en el Reino Unido Seguridad de la información fidus encontró los datos expuestos. TechCrunch verificó los datos comparando nombres y direcciones con registros públicos.
Contactamos a Tuft & Needle sobre la exposición de datos el lunes. El cubo de almacenamiento se cerró rápidamente.
“Hemos asegurado cualquier exposición potencial y estamos investigando el asunto más a fondo”, dijo la portavoz Brooke Figlo en un correo electrónico.
Tuft & Needle dijo que “cumpliría” con las leyes estatales de notificación de violación de datos aplicables, pero no dijo explícitamente si la compañía informaría a los clientes sobre la falla de seguridad.
Source link