Saltar al contenido

Compañía de financiamiento de automóviles filtra más de 500 mil de información del cliente en línea

30/10/2020

Como parte de nuestra investigación sobre los buckets de Amazon AWS S3 disponibles públicamente, los investigadores de seguridad de Tecnologardescubrieron otro repositorio, (mal) configurado para acceso público, que contenía 88 megabytes de documentos de hoja de cálculo en formato * .csv con nombres de cientos de concesionarios de automóviles en los Estados Unidos. Estados.

Tras una mayor investigación, pudimos identificar lo que parecía ser información de compra del cliente (como nombres completos, dirección, código postal, últimos 4 dígitos del SSN), puntajes crediticios (puntajes automáticos FICO), año, marcas y modelos. Una vez que quedó claro que se trataba de datos de financiación automotriz, encontramos el nombre de las personas que creíamos que estaban asociadas con los datos expuestos.

Los archivos supuestamente pertenecen a Alliance Direct Lending Corporation, una compañía de financiamiento de automóviles que refinancia préstamos para automóviles o utiliza una red de concesionarios para emparejarlos con compradores precalificados.

Los datos filtrados contenían 124 archivos (cada uno de ellos contenía de 5 a 10 mil registros, lo que nos lleva a 550K – 1M de detalles de clientes en total), con registros de financiamiento desglosados ​​por concesionarios y 20 grabaciones de audio de clientes que aceptan préstamos para automóviles o refinanciamiento. de préstamos para automóviles. Estas llamadas de consentimiento eran los clientes que aceptaban que entendían que estaban obteniendo un préstamo para automóvil, confirmando que la información era correcta y verdadera. Incluían el nombre de los clientes, la fecha de nacimiento, los números de seguro social y los números de teléfono. Estas llamadas fueron en inglés y español.

Un miembro de TecnologarSecurity Research llamó y habló con un administrador de TI que miró la URL de los datos de acceso público y confirmó que parecía pertenecer a Alliance Direct Lending. Al buscar en línea Alliance Direct Lending, parece que realmente tienen una reputación sólida y casi todas las revisiones son positivas, pero las filtraciones de datos pueden ocurrir y ocurren. Esta es otra llamada de atención para cualquier persona que maneje datos financieros, números de seguridad social u otros datos confidenciales para auditar sus datos con frecuencia. Una simple mala configuración podría permitir que el almacenamiento de datos de toda su organización esté disponible públicamente en línea para cualquiera que lo busque.

¿Alguien más vio estos datos?

No está claro si alguien más que investigadores de seguridad accedió a él o cuánto tiempo estuvieron expuestos los datos. Según las propiedades del depósito, se modificó por última vez el 29 de diciembre de 2016. Contenía 210 elementos públicos y 790 privados (no disponibles pero enumerados): registros. El administrador de TI afirmó que solo se había filtrado recientemente y que no estaba disponible por mucho tiempo. Nos agradeció la notificación y los datos se aseguraron muy poco después de la llamada de notificación.

El peligro de que se filtre esta información es que los ciberdelincuentes tendrían suficiente para participar en el robo de identidad, obtener tarjetas de crédito o incluso presentar una declaración de impuestos falsa. Alliance Direct Lending tiene su sede en California, donde la ley exige la notificación de una infracción cuando la información personal no cifrada de un residente de California se ve comprometida. California fue el primer estado de los EE. UU. En exigir la notificación de violaciones de seguridad (su ley entró en vigor en 2003).

Información para editores:

El TecnologarSecurity Research Center se estableció en diciembre de 2015 con el objetivo de ayudar a proteger los datos, identificar las fugas de datos y seguir la política de divulgación responsable. Nuestra misión es hacer que el mundo cibernético sea más seguro mediante la educación de empresas y comunidades de todo el mundo. Muchos de nuestros descubrimientos han sido cubiertos en los principales medios de noticias y tecnología, lo que le valió al Centro de Investigación de Seguridad de Tecnologarla reputación de ser uno de los departamentos de seguridad de datos cibernéticos de más rápido crecimiento.

ACERCA DE MACKEEPER

Con Tecnologar, nuestro objetivo es hacer que el uso de su Mac sea más fácil y seguro a través de soluciones tecnológicas confiables. Tecnologarviene con lo esencial que su Mac necesita para mejorar el rendimiento, limpiar el disco, la privacidad y la seguridad.