Informe: Empresa multinacional de logística expuso violación de datos de clientes
En este artículo, Violación de datos del cliente ¿Quién violó los datos? ¿Quién fue el usuario final afectado? Estado de la filtración de datos del protocolo de logística de Bergen Cómo proteger sus datos Cómo y por qué informamos una filtración de datos ¿Qué es Planet? Nombre y ubicación de la empresa: Bergen Logistics, ubicada en Estados Unidos, Canadá, Europa y Asia. Tamaño: Menos de 100 MB, 467979 registros expuestos Formato de almacenamiento de datos: ElasticsearchCountriesInfected:USA
El equipo de seguridad de Website Planet descubrió una fuga de datos que afectaba a Bergen Logistics, un proveedor de cumplimiento de pedidos de rápido crecimiento con sede en Estados Unidos, Nueva Jersey. .
Bergen es líder del mercado en logística de empresa a empresa en los sectores de la moda y el estilo de vida. Opera a nivel mundial, con almacenes en Estados Unidos, Canadá, Europa y Asia.
El 28 de diciembre de 2020, nuestro equipo de seguridad descubrió un servidor ElasticSearch abierto perteneciente a Bergen. El servidor no era seguro, no tenía ninguna protección con contraseña ni cifrado, lo que podía exponer potencialmente a miles de clientes de Bergen.
Unos días después, revisamos la base de datos nuevamente y descubrimos que la mayor parte de la base de datos parecía haber sido eliminada por un hacker que había dejado una nota de rescate.
A partir de los resultados de nuestra investigación, parece que cualquier cliente que haga negocios con Bergen o reciba paquetes de Bergen USA puede haber sido comprometido como resultado de esta exposición de datos. Los datos de envío filtrados de los clientes incluían direcciones de clientes, números de teléfono, nombres, apellidos y correos electrónicos. Además, se expusieron credenciales de inicio de sesión en texto claro que contenían correos electrónicos y contraseñas de cuentas de clientes.
Cientos de miles de estos archivos estaban desprotegidos y los piratas informáticos parecían haber encontrado la base de datos y posiblemente haberla guardado en el servidor, eliminando ElasticSearch.
Un total de 467.979 registros de clientes quedaron expuestos en el servidor abierto de Bergen, lo que equivale a 100 MB de datos. Muchos de los archivos tienen fecha de diciembre de 2020, lo que sugiere que los servidores estaban activos y en uso en el momento de la infracción.
Entre los documentos disponibles públicamente, aproximadamente 6.000 registros contienen detalles de envío del cliente. En estos documentos se pueden encontrar los nombres, apellidos, direcciones, números de teléfono y correos electrónicos de los clientes. Además, había aproximadamente 3000 registros que detallaban las credenciales de inicio de sesión de los clientes. Esto es extremadamente peligroso ya que los correos electrónicos y las contraseñas que aparecen en texto plano pueden usarse para defraudar al cliente en cuestión. A continuación se pueden encontrar ejemplos de ambos.
Parece que la mayoría de los datos filtrados se relacionan con clientes estadounidenses, con más de 465.000 registros públicos que contienen datos de clientes directamente identificables. Se trata de una estimación sensata, que indica que cada uno de estos clientes podría verse afectado. Quién filtró los datos
Bergen Logistics es un proveedor de cumplimiento de pedidos líder en el mercado, lo que significa que almacena, selecciona, empaqueta y entrega los productos de los clientes a sus tiendas minoristas. Bergen también ofrece soluciones logísticas directamente a clientes en mercados en línea y tiendas de comercio electrónico.
Bergen se compromete a proporcionar soluciones de implementación para una variedad de industrias, desde la moda hasta productos para el hogar, pasando por la electrónica y los dispositivos médicos. Bergen opera principalmente en el sector de la moda y ofrece zapatos, bolsos, accesorios, cosméticos y fragancias en nombre de marcas y tiendas de todo el mundo.
BergenLogistics cuenta actualmente con 149 empleados y una facturación estimada de 52 millones de dólares (según rocketreach). Personas afectadas
Muchas empresas que trabajan con Bergen Logistics pueden haber estado expuestas, y la exposición de Bergen a las entregas B2C sugiere que la información pública de los clientes también podría encontrarse en la base de datos.
Algunos clientes conocidos hacen negocios con Bergen Logistics. Bergen admite plataformas de comercio electrónico como Shopify, Magento y Select, mientras trabaja con marcas conocidas como LelaRose, LoveShackFancy, 3.1PhilipLim y Todd Snyder.
Como se mencionó anteriormente, no está claro si los archivos expuestos afectarán a los clientes fuera de los Estados Unidos. Todas las marcas anteriores, así como cualquier otro cliente estadounidense y tiendas de comercio electrónico asociadas que hagan negocios con Bergen Logistics, corren el riesgo de sufrir una violación de datos. Impacto en los usuarios finales
Estamos seguros de que los piratas informáticos han podido acceder y descargar archivos de la base de datos no segura de Bergen. Si bien su intención principal parece centrarse en extorsionar a Bergen Logistics, se desconoce si los piratas informáticos tenían la intención de utilizar la información del cliente para ayudar en otras actividades delictivas.
También es posible que otros piratas informáticos sin escrúpulos hayan accedido a la base de datos, en cuyo caso las partes interesadas deben ser conscientes de los diversos riesgos asociados con la exposición:
Robo de identidad y fraude— —Filtrado Los datos personales, como nombres, direcciones, correos electrónicos y números de teléfono, podrían haberse utilizado para atacar a los clientes y robarles la identidad, lo que permitió a los piratas informáticos realizar actividades fraudulentas en varias otras plataformas.
Estafas, phishing y malware: las direcciones de correo electrónico y los números de teléfono expuestos se pueden utilizar para dirigirse a los clientes. Los delincuentes se pondrán en contacto con los clientes a través de uno de estos medios, generando confianza mediante la filtración de la información personal obtenida. Durante la llamada, pueden intentar engañar a la víctima para que revele la información de su cuenta bancaria u otra información personal. A través del correo electrónico, pueden intentar convencer a las personas para que hagan clic en un enlace desde el cual pueden instalar malware en el dispositivo de la víctima. Espionaje comercial: los competidores que descubren listas de usuarios filtradas pueden apuntar a empresas. Robo: la disponibilidad de información personal y detalles de envío significa que una gran cantidad de productos podrían ser interceptados por delincuentes y vulnerables al robo. Adquisición de cuentas: los delincuentes que obtienen acceso a las credenciales de inicio de sesión de los clientes pueden usar esa información para iniciar sesión en cuentas y cometer fraude, robar información financiera y propiedad intelectual y vender o usar la información encontrada en las cuentas para cometer más delitos. Impacto en Bergen Logistics De conformidad con la Sección 5 de la Ley FTC, Bergen Logistics debe cumplir con los compromisos de privacidad publicados por la Comisión Federal de Comercio y proporcionar una seguridad adecuada de la información personal cuando realiza negocios dentro de los Estados Unidos.
Cualquier incumplimiento de estas condiciones autoriza a la Comisión Federal de Comercio de EE. UU. a tomar medidas coercitivas contra la empresa en cuestión. Si una empresa o un individuo es declarado culpable, podría ser arrestado o multado con hasta 100 millones de dólares.
Las operaciones de Bergen en la UE también significan que la empresa está sujeta a las leyes GDPR. Si se descubre que Bergen perdió, comprometió o proporcionó acceso a datos de clientes, podría enfrentar multas adicionales de aproximadamente $24 millones, o el 4% de la facturación, lo que sea mayor.
Pérdida de negocio
Esta filtración de datos también podría dañar la reputación de Bergen Logistics, siendo la pérdida de negocio un resultado común.
Bergen no logró proteger los datos de sus clientes y, al hacerlo, los dejó vulnerables a piratas informáticos y delincuentes. Como resultado, algunos clientes existentes pueden perder la confianza en Bergen y buscar negocios en otros lugares, mientras que la filtración también puede afectar cualquier comercio futuro con nuevos clientes.
Espionaje Competitivo
Los competidores pueden utilizar el espionaje (espionaje) para obtener una mayor ventaja comercial o financiera sobre Bergen Logistics.
Según la información divulgada, Bergen (y todos los clientes asociados con esta infracción) pueden estar en riesgo de espionaje competitivo. Los piratas informáticos pueden hacerse pasar por clientes o miembros comerciales para obtener información confidencial relacionada con cuentas, operaciones comerciales e incluso secretos comerciales.
Podrían robar esta información y, al obtener detalles de los clientes, los competidores podrían incluso perturbar las operaciones comerciales de Bergen.
Estado de vulneración de datos
Debemos enfatizar que, aunque se descubrieron avisos de rescate, se trata de mensajes comunes (a menudo automatizados) enviados a bases de datos abiertas. No podemos proporcionar pruebas de que alguien realmente haya copiado los datos de Bergen.
Nuestro equipo de seguridad descubrió la base de datos abierta el 28 de diciembre de 2020 y se notificó a Bergen Logistics el día 30. El día 31, se borró la base de datos y el equipo descubrió la nota de rescate. Después de revisar el servidor nuevamente el 15 de noviembre de 2021, nuestro equipo descubrió que la base de datos aún no estaba segura. Asimismo, Bergen fue informado de la violación de datos varias veces y recibimos una respuesta de uno de sus ejecutivos el 4 de abril de 2021, que divulgamos, pero hasta ahora no hemos recibido respuesta de él ni sobre el asunto.
Se contactó varias veces al Equipo de Respuesta a Emergencias Informáticas (CERT), pero no respondieron.
Todos los datos publicados son precisos y se relacionan con los clientes y las operaciones comerciales de Bergen Logistics. Si bien puede haber ejemplos de datos de prueba, los clientes que encontramos involucrados son personas reales. Proteja sus datos
Las filtraciones de datos son una experiencia preocupante para aquellos clientes que tienen la mala suerte de verse atrapados en ellas. Si bien los siguientes pasos no pueden garantizar la seguridad de los clientes involucrados, son necesarios para reducir la amenaza de actividad criminal maliciosa.
En primer lugar, si has perdido la confianza en una organización, es perfectamente legal solicitar que se eliminen tus datos. Las empresas deben cumplir con los estándares de privacidad. También debe tener cuidado al trabajar con personas desconocidas por teléfono o correo electrónico. Si una parte que dice ser una empresa confiable le pide que proporcione información personal, haga clic en un enlace o descargue un archivo, rechace cumplir hasta que la parte demuestre que es legítimo.
La apropiación de cuentas es otra preocupación para cualquiera que crea haber sido afectado por esta infracción. Los piratas informáticos pueden utilizar esta información para iniciar sesión en las cuentas de los clientes.
Los clientes deben cambiar su contraseña y nombre de usuario de su cuenta i