Base de datos de cadena de cines peruana dejó expuesta información personal de miles de clientes
El investigador de seguridad, Anurag Sen, acaba de publicar un reporte en el sitio web de revisión antivirus SafetyDetectives el cual señala que la base de datos de la cadena de cines peruana, Cineplanet, fue expuesta en internet sin ningún tipo de seguridad.
Bastaba con tener la dirección IP correcta de la base de datos para poder acceder, desde cualquier navegador web, a información personal que incluye nombres completos, correos, contraseñas sin cifrar e información parcial de pago (tarjetas de crédito o débito). También fue comprometida información sobre los miembros del programa de fidelidad de la compañía, estado civil y números del documento nacional de identidad (DNI) de los usuarios que realizaron compras en Cineplanet.
Aparentemente, se mantuvo registros solamente durante el periodo de un mes y se reportaron alrededor de 1.5 de millones registros nuevos por día. La base de datos, almacenada en un servidor Azure en Estados Unidos, dejó de estar expuesta y bloqueada el jueves 23 de enero del 2020. No se tiene indicios que usuarios malintencionados o cibercriminales hayan podido acceder a estos datos, sin embargo, es una posibilidad que no se puede descartar.
La cifra de afectados podría ascender a los 250 mil según el investigador. De caer en manos malintencionadas, esta información podrían tantear el acceso a los correos electrónicos almacenados y poder obtener, en el peor de los casos, el ingreso a cuentas bancarias. De momento Cineplanet no se ha manifestado sobre este incidente.