Investigadores de ciberseguridad han encontrado un problema crítico que ha expuesto la información privada de más de tres millones de ciudadanos mayores en Estados Unidos.
El problema estaba en un 'bucket' de Amazon S3 mal configurado, como viene siendo habitual últimamente.
Descubierto por los investigadores de WizCase, el cubo de almacenamiento en la nube pertenecía a SeniorAdvisor, que se describen a sí mismos como el mayor sitio web de calificaciones y comentarios para el cuidado y los servicios de las personas mayores en los Estados Unidos y Canadá.
Este cubo contiene más de 180 GB de datos con los nombres y datos de contacto de más de tres millones de personas. Los hackers pueden usar toda esta información para realizar fraudes de todo tipo, así que comprueba que no has sido afectado (o que tus familiares mayores no están en la lista).
Los buckets de Amazon S3 mal configurados son frecuentes y ponen de manifiesto que los propietarios de sitios no son conscientes de la magnitud de esta vulnerabilidad, dice WizCase. "Especialmente cuando los datos no están cifrados, lo que apunta a resultados potencialmente catastróficos", afirman. 'Los cubos S3 permiten que los administradores los configuren como quieran y, por algún movido, en vez de reforzar la seguridad incorporada por defecto, algunos administradores debilitan o incluso desactivan la seguridad incorporada', dice Jake Moore, especialista en ciberseguridad.
WizCase se puso en contacto con SeniorAdvisor y parece que la empresa ya ha asegurado el 'bucket' de datos
Abiertos al fraude
En su descripción del agujero de seguridad, los investigadores aseguran que el cubo S3 era accesible a cualquier persona en Internet y que la información no estaba cifrada.
Según su análisis, la mayoría de los datos expuesto eran clientes potenciales, e incluían los datos de contacto usados para varias campañas publicitarias de correo electrónico o teléfono.
La información también incluyeron las fechas en las que se contactó con los usuarios, que iban de 2002 y 2013, aunque los propios archivos tenían la fecha de 2017.
Además de la información de identificación personal, WizCase también descubrió unas dos mil reseñas en las que se habían eliminado los datos de los usuarios. Sin embargo, éstas tenían un identificador principal que puede utilizarse para extraer los detalles de los usuarios sin esfuerzo.
Citando un informe de la FTC, WizCase afirma que personas de entre 60 y 69 años perdieron una media de 600 dólares por estafa. La cifra aumenta a 1.700 dólares de media por estafa para personas de entre 80 y 89 años.
Este informe demuestra que los ciudadanos de la tercera edad son más propensos a caer en una amplia variedad de estafas, incluyendo estafas de soporte técnico, estafas de premios/sorteos, estafas de compras online y estafas telefónicas. Y para estafarles, la clave es tener los datos personales como los expuestos en este agujero de seguridad de SeniorAdvisor.
