Informe: El creador de sitios web de la Iglesia deja a los datos del clero y del voluntario como vulnerables

Gravedad: Alto


Tipo: Base de datos de ElasticSearch

Talla: 300mb que representan 65.800 registros

Países afectados: Estados Unidos, Canadá, múltiples países europeos, naciones del Caribe, Sudáfrica, República Democrática del Congo, Australia, Nueva Zelanda, etc..

Nuestro equipo de investigación de seguridad en Website Planet ha descubierto recientemente un segundo incidente en los últimos meses para el creador de sitios web y el servicio de diseño, Clover Sites, Inc., una subsidiaria de Ministry Brands. Un experto en ciberseguridad se contactó con ellos para informarles inicialmente de una fuga de datos, que posteriormente se cerró. No mucho después, nuestro propio hacker de sombrero blanco descubrió otra fuga de datos, dejando vulnerables a decenas de miles de clérigos y miembros de la congregación..

Datos del cliente filtradosDatos de CloverSites filtrados
  • Nombres completos del clero de la iglesia u otro punto de contacto para clientes
  • Números telefónicos directos de clientes
  • Facturar correos electrónicos
  • Direcciones de facturación
  • Últimos 4 dígitos de números de tarjeta de crédito de clientes que pagan
  • Monto pagado, pagos recurrentes, fechas de facturación
  • Memos internos y registros
  • Comunicación por correo electrónico del cliente
  • Puertos, rutas e información de almacenamiento de datos
  • Direcciones IP del servidor

Impacto

Con la fuga de una empresa de diseño de sitios web de la iglesia, se supone que el impacto será mínimo. Sin embargo, con los datos disponibles en esta filtración, se puede aprovechar de varias maneras, como …

El robo de identidad

Con registros que incluyen información de identificación personal (PII), detalles de facturación e incluso detalles personales sobre el clero y los voluntarios de la iglesia, sería fácil para cualquier persona con malas intenciones reclamar representar a la organización. Por lo tanto, pueden abrir cuentas financieras y solicitar donaciones para su propio beneficio utilizando la identidad de la iglesia o la de cualquier individuo afiliado.

cloversites-leak-report-1

Información de contacto, incluida la dirección de facturación y correos electrónicos directos y números de teléfono

cloversites-leak-report-2

Información de compra y cancelación del cliente

Ventaja competitiva

Cualquier competidor en el diseño del sitio web y / o el campo de consultoría puede usar fácilmente estos datos para su beneficio. Ya sea para rebajar los precios, robar clientes insatisfechos o comercializar a los clientes de Clover Sites, esta filtración puede llevar fácilmente a que su empresa pierda nuevos negocios actuales y potenciales. Las agencias de marketing, los profesionales del diseño web y otras personas que venden los mismos servicios o servicios similares han recibido los detalles de su público objetivo en una bandeja de plata.!

Informe: El creador de sitios web de la Iglesia deja a los datos del clero y del voluntario como vulnerables

Notas sobre un cliente descontento que posteriormente canceló su servicio

cloversites-leak-report-4

Puntos de dolor para los clientes de CloverSite

Informe: El creador de sitios web de la Iglesia deja a los datos del clero y del voluntario como vulnerables

Notas internas sobre un error de servicio al cliente

Crímenes de odio

Debido a los tiroteos masivos y otros ataques contra organizaciones religiosas y en lugares de culto en los últimos años, se teme que ocurra otra vez. Tener detalles de los miembros de la administración de la iglesia y las direcciones de facturación, a menudo diferentes de la dirección del templo principal, para que alguien pueda usar esto fácilmente para sus propios planes criminales..

También hay clientes que no son variaciones de las iglesias cristianas, sino que son sinagogas, lo que da lugar a una gran cantidad de posibilidades para que los peores antisemitas aprovechen los datos disponibles en esta filtración..

cloversites-leak-report-6

Los datos de una sinagoga incluidos en la filtración, señalando los pagos atrasados

 Estado: Clover Sites, Inc., una empresa no acreditada según Better Business Bureau (BBB), aún no ha revelado públicamente las dos filtraciones de datos recientes que nuestro equipo sabe que han experimentado este año. A pesar de varios intentos y una solicitud de comentarios sobre este incidente de datos, Clover Sites no ha respondido ni comentado en el momento de la publicación.

Prevención: La manera más fácil de evitar una fuga de datos como esta es implementar una contraseña segura para una base de datos alojada en la nube. En este caso, las instancias de ElasticSearch fueron indexadas por los motores de búsqueda de dispositivos Shodan y BinaryEdge, dejándola vulnerable a manos de los usuarios de la web. Clover Sites, como una marca bajo el paraguas de las Marcas del Ministerio, afirma que están “haciendo ajustes para cumplir” con los requisitos del Reglamento General de Protección de Datos (GDPR). Una vez que realmente cumplan, tal vez ya no veremos los datos de sus clientes puestos en riesgo.

¿Qué es Website Planet??

Website Planet es la principal autoridad para diseñadores web, desarrolladores, comercializadores digitales y emprendedores con presencia en línea. Al ofrecer herramientas y recursos útiles para cualquier persona, desde principiantes hasta profesionales experimentados, nos enorgullecemos de nuestra integridad y honestidad..

Nuestro equipo de investigación de seguridad ética descubre y revela algunas de las filtraciones de datos más impactantes, como un servicio comunitario gratuito que realizamos para la web en general..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map