Un investigador de seguridad ha encontrado una base de datos expuesta en Internet que pertenece al gigante de la impresión en línea Vistaprint.
investigador de seguridad Oliver Hough descubrió la base de datos sin cifrar la semana pasada. No había contraseña en la base de datos, lo que permitía a cualquier persona acceder a los datos que contenía. La base de datos fue detectada por primera vez por el dispositivo expuesto y el motor de búsqueda de bases de datos Shodan el 5 de noviembre, pero es posible que haya estado expuesta por más tiempo.
Toma tuiteó para advertir a la compañía del lapso de seguridad, pero no ha recibido respuesta.
Vistaprint, propiedad de Cimpress, empresa matriz con sede en los Países Bajos, desconectó silenciosamente la base de datos después de que TechCrunch se comunicó pero no hizo comentarios antes de nuestra fecha límite. Robert Crosland, un portavoz de Vistaprint, dijo en un comunicado después de que publicamos que la exposición afectó a los clientes en los EE. UU., el Reino Unido e Irlanda.
“Esto es inaceptable y no debería haber sucedido bajo ninguna circunstancia”, dijo la compañía. “Actualmente estamos llevando a cabo una investigación completa para comprender qué sucedió y cómo evitar que se repita en el futuro. En este momento, no sabemos si se ha accedido a estos datos más allá del investigador de seguridad que los encontró”, dijo el portavoz.
La compañía dijo que informará a los clientes sobre la exposición, muchos de los cuales están protegidos por las estrictas reglas de protección de datos de GDPR.
La base de datos contenía cinco tablas almacenadas con datos sobre más de 51 000 interacciones de servicio al cliente, como llamadas al servicio de atención al cliente o chats con un agente de soporte en línea. Los datos también incluían información de identificación personal, incluidos nombres e información de contacto, que podrían identificar a clientes individuales.
Una tabla denominada “casos” contenía consultas de clientes entrantes, incluidos el nombre del cliente, la dirección de correo electrónico, el número de teléfono y la fecha y hora de su interacción con el servicio de atención al cliente. Muchas de esas interacciones de servicio al cliente fueron tan recientes como a mediados de septiembre.
Los datos también contenían información oculta al cliente. Cada interacción de servicio al cliente en la tabla de “casos” parecía haber calificado la consulta del cliente en función de las palabras clave seleccionadas de su consulta. Eso ayudó a determinar el “sentimiento” del cliente, que luego describió su queja como “negativa” o “neutral”. Los datos también incluían la “prioridad” de la interacción de un cliente, lo que le permitía avanzar más en la cola.
Otra tabla llamada “chat” contenía miles de interacciones de chat en línea línea por línea de los clientes con los agentes de soporte, pero también contenía información sobre el navegador del cliente y la conexión de red, dónde estaban ubicados, qué sistema operativo usaban y su conexión a Internet. proveedor.
Algunos de los registros de chat grabados también contenían información confidencial, como números de pedido y números de seguimiento postal, pero no había contraseñas ni datos financieros en la base de datos expuesta.
La tabla de “correos electrónicos” contenía hilos de correo electrónico completos con clientes que detallaban problemas u otros problemas con sus pedidos. Y, la tabla de “teléfono” contenía información específica sobre cada llamada, incluida la fecha y la hora, cuánto tiempo se mantuvo al cliente en espera, una transcripción escrita de la llamada, que a menudo incluía detalles de los pedidos del cliente, y un enlace interno (que no pudimos acceder) a la grabación de la llamada.
Los datos también contenían información de la cuenta, incluidas las direcciones de correo electrónico del trabajo y algunos números de teléfono pertenecientes al personal de atención al cliente de Vistaprint.
Según Hough, la base de datos actualmente no estaba enviando ni recibiendo datos. La base de datos se denominó “migración”, lo que sugiere que la base de datos se usó para almacenar datos temporalmente mientras se trasladaban los registros de clientes de un servidor a otro.
Pero no está claro por qué la base de datos quedó expuesta y se dejó en línea sin contraseña.
Es el último ejemplo de un lapso de seguridad que involucra controles de datos internos laxos. Solo este año, varias exposiciones de datos han puesto en riesgo a millones de clientes, incluido el juego en línea ‘Magic: The Gathering’, un popular sitio en línea de ‘camgirl’, así como el sitio de búsqueda de empleo Monster.com y el gigante de TI Tech Data.
Actualizado con una declaración de Vistaprint.
Historias relacionadas: