El gigante del bricolaje expuso en Internet los datos de presuntos ladrones de tiendas sin ninguna seguridad | Sin protección por contraseña en los datos expuestos de presuntos ladrones en Internet. La cadena de supermercados de bricolaje B&Q ha revelado que ha tomado medidas tras darse cuenta de que expuso en Internet los datos de presuntos ladrones, sin protección por contraseña. El asunto fue sacado a la luz por un investigador de seguridad la semana pasada. Dijo que la cadena de bricolaje había desconectado los datos, pero no pudo obtener una respuesta de la empresa. Una portavoz de B&Q dijo a la BBC:
Hemos cerrado el problema y seguimos investigando cómo se produjo,
Según Lee Johnstone, director ejecutivo de Ctrlbox Information Security, los datos expuestos incluían unos 70.000 registros de delincuentes e incidentes. Johnson declaró en un blog, que los datos incluían:
-
el nombre y los apellidos de las personas sorprendidas o sospechosas de haber robado productos en las tiendas;
-
descripciones de las personas implicadas, sus vehículos y otra información relacionada con el incidente;
-
los códigos de producto de las mercancías implicadas; y
-
el valor de la pérdida asociada
Un ejemplo de los detalles registrados dice: "El delincuente salió corriendo por la salida de incendios con los termostatos Nest. El varón en esta ocasión escapó. No hay imágenes de CCTV que cubran esta zona". El Sr. Johnstone escribió que los datos se guardaban en un "servidor Elasticsearch", una tecnología de motor de búsqueda de código abierto que no se había configurado para requerir la autenticación de la identificación del usuario. Una portavoz de B&Q dijo que la empresa creía que el número indicado en el blog era incorrecto. Añadió que había otras inexactitudes en el texto. La portavoz no quiso decir cuáles eran las "inexactitudes", pero añadió:
Nuestra investigación continua nos ayudará a decidir si es necesaria una notificación de la ICO [Oficina del Comisario de Información],
No hay informes de que ninguna otra parte no autorizada haya accedido a la base de datos. Sin embargo, el Sr. Johnstone escribió que había enviado varios mensajes a B&Q antes de que los registros se volvieran inaccesibles, 11 días después de haber enviado el primer correo electrónico a la empresa. En el blog de ctrlbox, añadió:
El 23 de enero el servidor finalmente se desconectó y los datos dejaron de ser accesibles. Se desconoce si han desconectado el servidor debido a la notificación enviada o si simplemente se ha desconectado por casualidad, de cualquier manera está desconectado y es mejor así.
Cuando se le pidió un comentario sobre el incidente de los datos expuestos, una portavoz de la Oficina del Comisario de Información dijo:
Las organizaciones deben notificar a la ICO en un plazo de 72 horas desde que tienen conocimiento de una violación de datos personales, a menos que no suponga un riesgo para los derechos y libertades de las personas, ... Si una organización decide que no es necesario notificar una violación, debe mantener su propio registro de la misma, y ser capaz de explicar por qué no se ha notificado si es necesario.
Fuentes y créditos: Noticias de la BBC, ctrlbox Seguridad de la informaciónMás historias sobre violaciones de datos