ElasticSearch usado, otra vez, como vector de entrada para la filtración de datos personales

Honda filtró parte de su base datos alojada en un servidor ElasticSearch que contenía información confidencial de 26.000 clientes. Esto ha ocurrido poco tiempo después de filtrar a través del mismo motor de búsqueda basado en Lucene más de 40GB de datos de sus sistemas internos.

El investigador de seguridad Bob Diachenko encontró 976 millones de registros en total en la base de datos expuesta, incluido un millón que contenía información sobre los propietarios de Honda y sus vehículos, incluidos nombres, datos de contacto e información del vehículo.

Cabe recordar en este punto que dada la escasa complejidad para acceder a esta información, aunque el investigador haya publicado el fallo, no se puede saber a ciencia cierta si estos datos han podido ser obtenidos por otras personas con una ética más difusa.

Como punto positivo, cabe resaltar que la empresa actuó con celeridad cerrando el servidor el 13 de diciembre, solo un día después de haber sido notificada, y que entre la información sustraída no se encontraba información financiera.

Este tipo de filtraciones de datos de clientes, en caso de producirse en territorio donde la ley GDPR tenga jurisprudencia podrían suponer multas de un 4% de la facturación de la empresa o 40 millones de euros, la que sea mayor.

Más información:

Honda Exposes Vehicle Owner Records on the Web: https://securitydiscovery.com/honda-exposes-vehicle-owner-records-on-the-web/