Una empresa de software brasileña filtra amplios datos de sus visitantes

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El equipo de investigación de SafetyDetectives descubrió una importante filtración de datos que afectaba a la empresa de software brasileña WSpot.

WSpot proporciona una solución de gestión de WiFi que permite a las empresas controlar varias funciones de su red WiFi y router en las instalaciones.

El cubo de Amazon S3 de WSpot, mal configurado, se dejó en abierto, exponiendo la información sensible de potencialmente millones de ciudadanos brasileños.

¿Quién es WSpot?

WSpot ayuda a las empresas a gestionar y mejorar las funciones de su red WiFi y su router a través del portal web WSpot.

El producto es un “software de gestión de WiFi”. Proporciona mayor seguridad y control a las empresas que permiten a los clientes conectarse a su WiFi sin contraseña. La autentificación del cliente a través de un portal cautivo, la mejora de la recogida de datos y los límites de ancho de banda personalizables son sólo tres de los servicios disponibles para los usuarios.

WSpot tiene su sede en Campinas (Brasil) y cuenta con algunos clientes de alto nivel, como Sicredi, Unimed y Pizza Hut.

Filtración de datos de visitantes

La filtración de datos de WSpot ha comprometido más de 226.000 archivos con un total de 10 GB de datos. Entre los registros de estos archivos hay una serie de datos sensibles y personales relacionados con los clientes de WSpot y sus visitantes.

Amazon no gestiona el servidor de WSpot y no es responsable de su configuración. Amazon sólo proporciona la plataforma para el almacenamiento de datos responsable de WSpot, y el servidor Amazon S3 Bucket se dejó sin ningún procedimiento de autenticación en su lugar.

Descubrimos dos tipos de archivos diferentes expuestos en la base de datos abierta: registros de SMS e informes de invitados. Puede haber más información expuesta que no era visible en nuestros datos de muestra.

En la base de datos de WSpot se encontraron 84 MB de archivos que contenían registros de SMS. Se estima que hay un total de 280.000 entradas de registro de este tipo.

Informe completo: Safety Detectives

Deja una respuesta

Tu dirección de correo electrónico no será publicada.