Se descubrió recientemente que Sennheiser, un fabricante alemán de equipos de audio de alta calidad, había dejado un servidor AWS inseguro flotando en Internet durante años. El servidor contenía decenas de gigabytes de información sobre más de 28.000 clientes de Sennheiser.
Un nuevo informe de vpnMentor, que descubrió los datos no seguros, detalla cómo se ubicó el servidor. Los investigadores dicen que Sennheiser estaba utilizando un bucket de S3 de Amazon Web Service (AWS) para almacenar grandes archivos de datos que había recopilado de los clientes.
Estos depósitos son aparentemente una opción popular entre las empresas para almacenar archivos de datos grandes. Pero depende de las empresas individuales definir la configuración de seguridad para cada segmento individual, algo que vpnMentor dice que Sennheiser no pudo hacer en este caso.
Como resultado, más de 55 GB de datos de más de 28.000 personas se dejaron abiertos en Internet para que cualquiera pudiera acceder a ellos. Aparentemente, el depósito había estado inactivo desde 2018. Pero aún no estaba protegido y contenía todo tipo de datos confidenciales de los clientes.
Imagen: vpnMentor
Los investigadores concluyeron que los datos almacenados en este depósito provenían de personas y empresas que solicitaron muestras de productos Sennheiser. La información que se encuentra en el depósito incluía nombres completos, direcciones de correo electrónico, números de teléfono, direcciones de casa y nombres de empresas y empleados.
Con ese tipo de información, los delincuentes podrían tener el punto de partida perfecto para cometer todo tipo de delitos, ya sea el robo de identidad o una estafa de phishing. Obviamente, esto fue un gran descuido de Sennheiser.
Afortunadamente, vpnMentor dice que se comunicó con la compañía una vez que encontró la brecha en octubre. Sennheiser aparentemente aseguró el cubo S3 poco después. Aún así, es bastante preocupante escuchar informes como este sobre los datos de las personas que flotan en la web para que cualquiera los vea.
Con suerte, Sennheiser se toma esta violación en serio y no escucharemos más violaciones de datos por parte de la compañía en el futuro.
¿Tienes alguna idea sobre esto? Háganos saber más abajo en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
