Una aplicación móvil de bienes raíces con aproximadamente medio millón de usuarios aparentemente contenía datos confidenciales de los usuarios en una base de datos desprotegida, disponible gratuitamente para todos los que supieran dónde buscar.
Los datos allí contenidos contenían suficiente información para que los piratas informáticos montaran ataques de robo de identidad, phishing y otros fraudes de ingeniería social.
Investigadores de cibernoticias, quien descubrió la base de datos a principios de noviembre de 2023 y descubrió que MyEstatePoint Property Search tenía una aplicación MongoDB de acceso público que contenía los nombres de los usuarios y las contraseñas en texto sin formato. Además, la base de datos contenía direcciones de correo electrónico, teléfonos móviles, ciudades, descriptores comerciales y métodos de registro de las personas.
Reciclaje de contraseñas
“Este conjunto de datos completo plantea graves riesgos, ya que los actores de amenazas podrían explotar la información expuesta para obtener acceso no autorizado. el robo de identidadactividades fraudulentas y potencialmente comprometer la privacidad y seguridad de las personas afectadas”, dijo el equipo.
La aplicación fue desarrollada por un desarrollador de software con sede en la India llamado NJ Technologies. Tras el descubrimiento, los investigadores se pusieron en contacto con el equipo, pero no obtuvieron comentarios, aunque la base de datos fue posteriormente bloqueada.
La mayoría de los usuarios son indios, agregaron los investigadores. Si bien bloquear la base de datos es un paso bienvenido, todavía existen riesgos. En primer lugar, no sabemos si algún actor de amenazas accedió a la base de datos de antemano y, si lo hizo, ¿qué hizo con la información encontrada allí? Es de conocimiento común que muchas personas suelen utilizar la misma combinación de nombre de usuario y contraseña en múltiples servicios, por conveniencia. En ese caso, los actores de amenazas podrían utilizar la información obtenida a través de MyEstatePoint Property Search para comprometer también otros servicios.
Al automatizar el proceso en un ataque de fuerza bruta, los actores de amenazas podrían probar los nombres de usuario y contraseñas en una gran variedad de servicios de forma rápida y eficiente. En general, se recomienda a los usuarios que no utilicen las mismas contraseñas para múltiples servicios y que se aseguren de que sus credenciales de inicio de sesión sean imposibles de adivinar.
TechRadar Pro se ha puesto en contacto con MyEstatePoint para solicitar comentarios.