La plataforma de ventas de afiliados SoftwareProjects tenía casi 200 GB de datos de clientes y afiliados expuestos públicamente antes de ser descubiertos e informados por el investigador de ciberseguridad Jeremiah Fowler. La base de datos expuesta contenía 257.562 registros con imágenes de tarjetas de crédito, documentos de identificación, información de identificación personal y otra información potencialmente sensible.
«Había miles de documentos que revelaban información de identificación personal (PII) tanto de clientes como de afiliados», dijo Fowler. en una publicación de blog. «La base de datos estaba marcada como CDN, que normalmente significa red de entrega de contenido o red de distribución de contenido». CDN es donde se almacenan documentos y archivos para acelerar el tiempo de carga de una aplicación, sitio web u otras herramientas basadas en web con gran cantidad de datos, según Fowler.
Datos críticos de clientes y afiliados expuestos
La base de datos no protegida por contraseña tenía dos carpetas que contenían documentos de verificación de clientes y afiliados respectivamente, junto con algunos documentos internos. «Vi muchos documentos internos, como facturas, reembolsos, pagos de afiliados, datos contables y de ventas, y mucho más», dijo Fowler. «El descubrimiento más preocupante que vi fue aproximadamente 18.000 archivos de verificación de pedidos que incluían imágenes de documentos de identificación personal, fotografías de personas con documentos de identificación y tarjetas de crédito de clientes de todo el mundo».
Después de hacer el descubrimiento, Fowler envió un aviso de divulgación a SoftwareProjects y se le agradeció y se le informó que el problema de acceso a los directorios se resolvió posteriormente alejando todos los datos de PII de los depósitos públicos. Sin embargo, descubrió que la base de datos todavía estaba accesible durante algún tiempo antes de ser restringida.
«En una carpeta separada, había documentos de verificación para los afiliados», agregó Fowler. «Estos registros de afiliados podrían ser potencialmente más sensibles que los registros de clientes porque los ciberdelincuentes sabrían que estas personas participan en actividades comerciales y podrían ser potencialmente objetivos más valiosos para el robo o el fraude».
Además, la base de datos contenía una variedad de otros archivos y documentos dentro de la base de datos, incluidas facturas con información de identificación personal del cliente, documentos de reembolso, registros de transferencias bancarias y archivos .csv de informes de ganancias que mostraban los números de cuenta de los afiliados de ABA.