Scottrade confirmó un incidente técnico ha expuesto 20.000 registros de clientes. una base de datos de 60 GB MSSQL se dejó abierta accidentalmente en línea.
Scottrade ha admitido la violación de los datos de las solicitudes de préstamos sensibles de aproximadamente 20.000 clientes.
El hecho se produjo cuando la compañía de servicios Genpact subio los datos sensibles a un servidor de la Amazonia. Por desgracia, la compañía no protegió el valioso archivo dejándolo expuesto en línea sin protección.
El incidente fue descubierto por el popular experto en seguridad Chris Vickery, que era bien conocido por haber descubierto muchas otras bases de datos que quedan en línea sin protección. Vickery descubrió el valioso archivo y descargo la base de datos de Microsoft SQL 158.9GB, entonces decidió informar del problema a Scottrade.
De acuerdo con Vickery el archivo contiene contraseñas de cuentas en texto plano, los registros expuestos incluyen nombres, direcciones y números de seguridad social. Scottrade rápidamente inició una investigación y descubrió la causa raíz del incidente. Un empleado de Genpact no ha configurado correctamente el servidor SQL.
“El 2 de abril, Genpact, un proveedor de terceros, confirmó que había subido un conjunto de datos a uno de sus servidores de la nube que no contaban con todos los protocolos de seguridad en su lugar. Como resultado, los datos no fue asegurado totalmente por un período de tiempo. El archivo contiene la información de solicitud de préstamo comercial de una unidad B2B pequeña dentro de Scottrade Banco, incluyendo la información no pública de hasta 20.000 personas y empresas.” Segun comunicado emitido por Scottrade. “Al ser alertado de la cuestión, Genpact asegurado inmediatamente esa información, y trazó el tema a un error de configuración de su parte de carga del archivo.”
El valioso archivo ha sido eliminado inmediatamente de la línea después de la notificación de la abertura.
El proveedor de servicios de Genpact está investigando el incidente para determinar qué datos han sido expuestos.
“Genpact está llevando a cabo un extenso análisis de los archivos de registro y el medio ambiente para determinar en qué medida pueden haber tenido acceso a los datos. Se ha contratado a una empresa líder en medicina forense para ayudar en el análisis.”, Continúa el comunicado.
Genpact y Scottrade confirmó que el incidente no fue causada por un ataque cibernético contra los servidores internos de ambas compañías.
Scottrade ya ha sufrido una fuga de datos en el pasado, en octubre de 2015, un incidente puso de manifiesto la información personal de los 4,6 millones de clientes.
Fecha actualización el 2017-4-6. Fecha publicación el 2017-4-6. Categoría: Amazon. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs