Dati personali di 600.000 clienti sono online disponibili per tutti
Buongiorno cari lettori, oggi parleremo dei dati personali di 600.000 clienti sono online disponibili per tutti.
Una banca dati non protetta contenente dati privati dei dipendenti e dei membri di Town Sports è trapelata su Internet.
Una catena di fitness con sede negli Stati Uniti, Town Sports International, ha esposto i dati personali di oltre 600.000 dipendenti e membri su Internet a causa di un database mal configurato, ha segnalato Comparitech.
Town Sports è una catena di palestre, centri termali e fitness club con filiali in tutto il nord-est degli Stati Uniti e conta circa 600.000 membri. La società possiede molti marchi, tra cui Around the Clock Fitness, My Sports Clubs, Total Woman e Lucille Roberts.
Secondo i ricercatori di Comparitech, la banca dati non era protetta da password e non richiedeva alcun altro processo di autenticazione per la concessione dell'accesso.
Di conseguenza, sono trapelati online dati privati, tra cui nomi completi, cronologie di fatturazione, informazioni di contatto, indirizzo stradale, indirizzo e-mail e informazioni limitate sul pagamento, come la data di scadenza della carta di credito e le ultime quattro cifre.
Tuttavia, le password dei conti, i numeri completi delle carte di credito e i CVV non facevano parte di questo database. I dati sono stati archiviati in un secchio di Amazon S3.
Secondo un post del blog pubblicato da Comparitech, il 21 settembre 2020 il ricercatore sulla sicurezza Bob Diachenko ha ricevuto una soffiata dall'esperto di sicurezza informatica Sami Toivonen riguardo al database esposto. Tuttavia, il database esposto è stato scoperto per la prima volta sul web almeno undici mesi fa, il 30 novembre 2019.
Il 21 settembre 2020, Diachenko ha notificato Zack Whittaker di Town Sports and Techcrunch come parte della politica di divulgazione responsabile dell'azienda. Town Sports ha riconosciuto l'esposizione del database e lo ha messo al sicuro entro il 22 settembre 2020, ma non ha ancora risposto alla notifica di Diachenko.
Non è ancora chiaro se un soggetto non autorizzato abbia avuto accesso al database mentre era esposto. Pertanto, i clienti e i dipendenti interessati devono stare all'erta, poiché i truffatori potrebbero tentare di sfruttarli.
"La nostra ricerca indica che i database non protetti possono essere trovati, rubati e attaccati nel giro di poche ore dall'esposizione", hanno osservato i ricercatori.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
