El investigador de seguridad Jeremiah Fowler, en colaboración con el equipo de investigación de WebsitePlanet, descubrió una base de datos no protegida por contraseña que contenía 92 millones de registros. Tras una investigación más profunda, parecía pertenecer a la agencia de marketing digital Cronin. El servidor expuesto se llamaba “Cronin-Main” y muchos de los registros contenían referencias a Cronin. Estos registros incluían datos internos, como información sobre los empleados y los clientes. También se incluía en el conjunto de datos una “lista maestra de correo” con nombres físicos directos, direcciones, ID de Salesforce, números de teléfono y referencias a la procedencia de los clientes potenciales.
La agencia, con sede en Connecticut, tiene algunos clientes muy conocidos en su sitio web. Según el sitio web de Cronin, se trata de una “agencia de marketing digital centrada en los resultados e impulsada por la tecnología”. Sus clientes se centran en productos y servicios financieros, sanitarios y de consumo”. En un comunicado de prensa fechado el 16 de marzo de 2020, Horizon Group of North America ha adquirido Cronin, la mayor agencia independiente de marketing de servicio completo de Connecticut. Su lista de clientes incluye empresas como Dunkin, Lego, Henkel, Loctite, por mencionar algunas.
Esto es lo que se descubrió:
- Tamaño total: 26,43 GB / Total de documentos: 92.711.060
- Registros expuestos que contenían el registro interno de las campañas publicitarias de los clientes, palabras clave, datos de Google Analytics, información detallada como el ID de la sesión, el ID del cliente, datos del dispositivo y otra información identificativa.
- Tokens de inicio de sesión y otra información de seguridad.
- Nombres de usuario, correos electrónicos y contraseñas cifradas de empleados internos de Cronin que podrían ser el objetivo de un ataque de phishing o utilizarse para acceder a áreas restringidas de la red o a registros protegidos por contraseña.
- Registros financieros y de empleados con el siguiente formato: “bill_rate”, “department”: “digi”, “department_code”: “technology & innovation”, y otros formatos de registro interno.
- La exposición muestra dónde se almacenan los datos y sirve como esquema de cómo funciona el servicio desde el backend.
- Información de middleware o de construcción que podría permitir una ruta secundaria para el malware. Direcciones IP, puertos, vías de acceso e información de almacenamiento que los ciberdelincuentes podrían explotar para acceder a zonas más profundas de la red que no deberían ser públicas.
- Se trata de una base de datos configurada para abrirse y ser visible en cualquier navegador (de acceso público) y cualquiera podría editar, descargar o incluso borrar datos sin credenciales administrativas.
Acceso al informe completo