El colapso de la inmobiliaria colombiana reveló récords de más de 100.000 compradores

agencia inmobiliaria

Se dejó al descubierto más de un terabyte de datos que contenían 5,5 millones de archivos, y la empresa de seguridad cibernética WizCase filtró información personal de más de 100.000 clientes inmobiliarios colombianos.

La brecha fue descubierta por Ata Hakçıl y su equipo en una base de datos de su propiedad. Coninsa Ramón H, empresa especializada en arquitectura, ingeniería, construcción y servicios inmobiliarios. «No se requirió ninguna contraseña o información de inicio de sesión para ver esta información, y los datos no estaban encriptados», dijeron los investigadores en un informe exclusivo compartido con The Hacker News.

La exposición de datos es el resultado de un bloque del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) configurado incorrectamente, lo que hace que se divulgue información confidencial, como nombres de clientes, fotos y direcciones. Los detalles almacenados en el cubo van desde facturas y documentos de recibo hasta ofertas y extractos de cuentas de 2014 a 2021. La lista completa de información contenida en los documentos es la siguiente:

  • Nombres completos
  • Números de teléfono
  • Dirección de correo electrónico
  • Direcciones de residencia
  • Las cantidades pagadas por bienes inmuebles y
  • valores de los activos

Además, el depósito también debe contener una copia de seguridad de la base de datos que contenga información adicional, como imágenes de perfil, nombres de usuario y contraseñas cifradas. De manera preocupante, los investigadores dijeron que también encontraron un código de puerta trasera malicioso en el cubo que podría explotarse para obtener acceso permanente a la web y redirigir a los visitantes desprevenidos a sitios fraudulentos.

No está claro de inmediato si estos archivos fueron utilizados por malos actores en una campaña. Coninsa Ramon H no respondió a las preguntas de The Hacker News enviadas por correo electrónico sobre la vulnerabilidad.

«Basado en una visualización de documento de muestra […] La configuración incorrecta ha revelado transacciones de $ 140 mil millones a $ 200 mil millones o al menos $ 46 mil millones en el historial anual de transacciones «, dijeron los investigadores.

La naturaleza altamente confidencial de los datos contenidos en la base de datos los hace altamente susceptibles de uso indebido por parte de los ciberdelincuentes para ataques de phishing y diversas actividades fraudulentas o fraudulentas, lo que incluye engañar a los usuarios para que realicen pagos adicionales y, lo que es peor, revelar más información de identificación personal mediante la manipulación. con la infraestructura backend del sitio.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática