Ningún sector se libra de tener agujeros de seguridad, aunque en este caso quizás deberíamos hablar más de hoyos... que de agujeros.
Golfhubber, una compañía británica que cuenta con una plataforma digital para conectar a clubes de golf y empresas con jugadores profesionales y amateurs, ha experimentado una importante brecha de datos.
El equipo de investigación de Cybernews ha hallado una instancia de Elasticsearch sin protección que filtró información personal identificable de más de 60.000 usuarios.
Entre los detalles expuestos hay fechas de nacimiento, correos electrónicos, nombres completos, género, nombres de usuario, marca del teléfono móvil, número IMEI y versiones del sistema operativo móvil.
Por otro lado, la instancia expuesta también reveló credenciales críticas de API, incluyendo nombres de usuario, contraseñas y correos electrónicos.
La filtración también dejó al descubierto datos de MinIO, con nombres de usuario y contraseña. Se trata de un sistema de almacenamiento de objetos de código abierto diseñado para guardar datos no estructurados.
Todo el daño que pueden hacer los cibermalos 'golfos'
Los investigadores alertan de que con estos datos los ciberdelincuentes podrían tomar el control de la plataforma, modificar información clave y comprometer la integridad de los datos.
La cosa podría ponerse más seria aún, porque los atacantes podrían usar los emails y otros datos filtrados para diseñar campañas de phishing convincentes. 'Camuflándose' con los credenciales de la compañía los usuarios podrían ser engañados para entregar información aún más sensible, como credenciales bancarias o detalles de tarjetas de crédito, causando daños financieros graves.
Por otro lado, la filtración de números IMEI es muy peligrosa. Este código de 15 dígitos único para cada teléfono móvil que funciona como una huella digital podría ser usada por los atacantes en sus propios dispositivos para lograr acceso no autorizado a redes y servicios móviles.
Cybernews se puso en contacto con la empresa y esta aseguró el acceso a los datos. Sin embargo, la filtración fue detectada inicialmente en motores de búsqueda de IoT el pasado 16 de julio. Así, la información permaneció accesible en Internet durante casi tres meses.