Una base de datos no segura de la cadena de cines Cineplanet dejó expuesta en Internet la información confidencial de aproximadamente 250 mil clientes peruanos para que cualquiera pueda verla. La empresa reconoció que sí hubo una “brecha de seguridad”.
De acuerdo con información de CNET y Safetydetectives, Cineplanet había dejado abierto un servidor de Microsoft Azure (locación siendo Virginia en Estados Unidos). Este servidor contaba con la data de 14 millones de inicios de sesión y más de 205 millones de registros de datos.
La cantidad de data filtrada incluye números de DNI, dirección de correo, número de teléfono, dirección del cliente, estado y detalles de su vida, logins de los usuarios, contraseñas y compras.
La base de datos, a la que cualquier persona con la dirección IP correcta pudo acceder en un navegador web, también expuso información sobre los miembros del programa de fidelidad de la compañía, incluido su estado civil.
Sin embargo, no hay indicios de que los cibercriminales hayan accedido a los datos, aunque eso no se puede descartar, indica la publicación.
Cabe señalar que la base de datos, que estaba almacenada en un servidor en la nube, ya no está expuesta en línea, debido a que fue bloqueada el jueves 23 de enero de 2020.
El investigador que encontró la base de datos, Anurag Sen, publicó sus hallazgos el lunes con el sitio web de revisión antivirus SafetyDetective y compartió su investigación con CNET. Él indicó que la base de datos de Cineplanet expuso alrededor de 250 mil números de DNI.
Durante la tarde, el portal web de Cineplanet había presentado un problema y se leía el mensaje: “¡Ups!, algo sucedió. Estamos revisando nuestras plataformas para solucionar este inconveniente”.
El pronunciamiento de Cineplanet
Verónica Vallarino, representante de marketing de Cineplanet, reconoció al diario Gestión que sí hubo una “brecha de seguridad”, la cual, apenas fue encontrada el pasado 23 de enero, fue cerrada.
Asimismo, aseveró que la cadena de cine actualmente está realizando un proceso de investigación para determinar cuál fue el alcance y, por ende, qué datos se habrían filtrado exactamente. No obstante, reconoció que los datos eran alojados en un “servidor público”.