Minorista de moda expone siete millones de registros de clientes

Un minorista de moda europeo se ha convertido en la última marca de renombre en exponer datos personales de millones de sus clientes después de configurar mal una base de datos en la nube. Los investigadores de vpnMentor descubrieron el servidor Elasticsearch sin cifrar el 28 de junio y la empresa matriz BrandBQ finalmente lo […]

Un minorista de moda europeo se ha convertido en la última marca de renombre en exponer datos personales de millones de sus clientes después de configurar mal una base de datos en la nube.

Los investigadores de vpnMentor descubrieron el servidor Elasticsearch sin cifrar el 28 de junio y la empresa matriz BrandBQ finalmente lo aseguró alrededor de un mes después, el 20 de agosto.

El minorista con sede en Cracovia opera tiendas físicas y en línea en Europa del Este, en: Polonia, Rumania, Hungría, Bulgaria, Eslovaquia, Ucrania y la República Checa. Sus principales marcas son Answear y WearMedicine.com.

Entre los mil millones de entradas en la base de datos expuesta, 6,7 millones de registros relacionados con clientes en línea, con cada entrada con información de identificación personal (PII), incluidos nombres completos, direcciones de correo electrónico y de casa, fechas de nacimiento, números de teléfono y registros de pago (aunque no la tarjeta detalles).

50.000 registros adicionales relacionados con contratistas locales en determinadas jurisdicciones incluían información adicional, como números de IVA e información de compra. La base de datos también contenía registros de llamadas a la API de la aplicación móvil de Answear, exponiendo la PII de 500.000 usuarios de la aplicación de Android y un número desconocido que descargaron la versión de iOS, afirmó vpnMentor.

Los datos expuestos podrían haber proporcionado a los ciberdelincuentes una fuente útil de PII para lanzar ataques de phishing convincentes y fraude de identidad, agregó.

¿Qué es Elasticsearch?

Elasticsearch es una plataforma de análisis y búsqueda de código abierto distribuida que se ejecuta en el software Lucene.

El motor de “Búsqueda como servicio” se utiliza para el registro y el análisis de registros, la extracción y combinación de datos públicos y la búsqueda de texto completo en más de 3000 empresas, incluidas Adobe y Cisco. Elasticsearch y sus servicios hermanos Log-stash y Kibana forman la pila Elastic. Esta colección de servicios es inmensamente popular para administrar conjuntos de datos grandes y diversos debido a su capacidad de respuesta en tiempo real y su alta escalabilidad.

Elasticsearch trabaja con datos no estructurados de varias ubicaciones y luego los almacena e indexa. Esto permite una mejor capacidad de búsqueda, especialmente porque los usuarios pueden personalizar sus índices y mapas específicos según las necesidades de su organización. Elasticsearch también pone a disposición enormes volúmenes de datos.

¿Cómo ocurren las infracciones de Elasticsearch?

Los grupos de búsqueda elásticos mal configurados y desprotegidos pueden ser descubiertos y explotados por actores malintencionados que buscan en la web.

Una herramienta común para descubrir bases de datos expuestas es Shodan, que busca dispositivos y puertos conectados a Internet. Una búsqueda superficial en Shodan para los puertos predeterminados 9200 y 9300 de Elasticsearch revela miles de resultados, algunos de los cuales probablemente quedarán desprotegidos. Desde allí, los actores malintencionados pueden usar la función de línea de comandos curl para ubicar y explorar los clústeres de Elasticsearch expuestos. Una vez que un atacante descubre datos confidenciales dentro de un clúster expuesto, pueden exfiltrarlos para una gran variedad de usos maliciosos. 

Las herramientas similares a Shodan que también se pueden usar para buscar clústeres de Elasticsearch expuestos incluyen Censys y LeakIX. Los clústeres expuestos ocurren cuando los usuarios no habilitan los protocolos de seguridad integrados dentro del kit de herramientas de Elastic o configuran incorrectamente sus bases de datos.

Por ejemplo, en una exposición de julio de 2019 de 90 millones de registros de datos, el clúster de Elasticsearch navegó a la “página de creación de patrón de índice” cuando se accede en un navegador. A partir de ahí, los actores malintencionados podrían explorar dos bases de datos que contienen el almacenamiento masivo de información confidencial.