Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Fallo seguridad en Decathlon España expone 123 millones de datos




vpnMentor ha descubierto una base de datos activa con más de 123 millones de registros y un tamaño superior a 9 GB en un servidor ElasticSearch, perteneciente a Decathlon España (y posiblemente también a Decathlon UK). La compañía descubrió la base de datos el 12 de febrero, y lo notificó a la empresa cuatro días después de haber analizado los datos. No se trata de ningún hackeo, simplemente la compañía olvidó la base de datos pública en internet sin ningún tipo de protección, visible para cualquiera.




Date discovered: February 12th, 2020
Date company notified: February 16th, 2020
Database closed: February 17th, 2020



En total, hay más 9 GB de datos que incluyen datos muy sensibles. Este tipo de datos, en malas manos pueden generar una gran cantidad de problemas, ya que por ejemplo pueden lanzar ataques de phishing a los usuarios cuyo correo electrónico tengan y hacerse pasar por Decathlon, pudiendo robarles más datos como sus contraseñas o tarjetas bancarias. También pueden sufrir suplantaciones de identidad los propios usuarios o amenazas físicas, ya que tienen sus direcciones y lugares de trabajo.


Mientras Decathlon España afirma que los datos que se han filtrado no son sensibles, y que “sólo el 0,03% son datos de usuarios, mientras que el 99,97% restante pertenece a datos técnicos a nivel interno”. También se han apresurado en aclarar que ningún dato personal de clientes como contraseñas, números de tarjetas de crédito u otros datos se han visto afectados.



vpnMentor, por el contrario, afirma que los datos que han analizado sí incluyen usuarios y contraseñas sin cifrar de los empleados, número de la Seguridad Social, números de teléfono, direcciones, nombres completos, nacionalidades, fechas de nacimiento, nivel de estudios, correos corporativos, cargos en la empresa, tiempo en la empresa, direcciones de correo de clientes, etc. Los datos estaban alojados en un servidor de ElasticSearch, el cual era de libre acceso sin ningún tipo de contraseña

Datos afectados


  • Nombres de usuario de los empleados
  • Contraseñas sin cifrar
  • Registros de API
  • Nombre de usuario de API y contraseña sin cifrar
  • PII de empleados
  • Números de seguridad social
  • Nombres completos
  • Nacionalidades
  • Números de teléfono móvil
  • Direcciones completas
  • Fechas de nacimiento
  • Educación
  • Direcciones de correo electrónico de trabajo
  • Información del contrato de trabajo
  • Horas Laborales
  • Ubicación
  • Calificaciones
  • Período de contrato
  • Roles
  • Correo electrónico del cliente e información de inicio de sesión, sin cifrar
  • Direcciones IP privadas


También han encontrado logins de administradores sin cifrar, y si no se apresuran en cambiarlos, un atacante podría acceder con estas credenciales y obtener información confidencial sobre tiendas, empleados y clientes de la cadena.



Otra clave del asunto radica también en si Decathlon informó a las autoridades de protección de datos del caso, ya que según el Reglamento General de Protección de Datos (RGPD), es necesario notificar a las autoridades 72 horas después de conocer la brecha de seguridad, y si Decathlon se enteró el 16 de febrero, han pasado más días de lo permitido. El servidor con los datos fue cerrado el 17 de febrero.

Fuentes:
https://www.adslzone.net/2020/02/24/decathlon-hackeo-9-gb/

Roban datos de 10,6 millones de personas del hotel MGM de la Vegas


Según ZDNet, 10,6 millones de personas (3.081.321 de cuentas) que en algún momento de sus vidas se alojaron en el hotel-casino MGM de Las Vegas podrían ver su información personal colgada en internet: teléfonos, domicilios, nombres completos, correos electrónicos y hasta fechas de nacimiento.

La información fue sustraída el pasado verano de la base de datos de este gigantesco establecimiento con más de 5.600 habitaciones, suites, lofts o villas y ya ha sido compartida en varios foros de hacking. El el distribuidor de los datos robados, es miembro de GnosticPlayers, un grupo que ha publicado información de más de 1.000 millones de personas.

El tamaño y la gravedad de este incidente de seguridad de MGM Resorts palidecen en comparación con la violación masiva de datos que impactó a los hoteles Marriott en 2018 cuando los delincuentes informáticos chinos robaron los detalles de cientos de millones de usuarios.

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.