Un servidor desprotegido compromete a Weight Watchers

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Un servidor crítico del popular servicio de pérdida de peso Weight Watchers se dejó sin protección, lo que permitió a los investigadores de Kromtech Security extraer parte de las docenas de contenedores S3 expuestos con datos de la empresa y claves de acceso a AWS, aunque no vieron expuesta ninguna información de identificación personal.

Los investigadores descubrieron una consola de administración Kubernetes de Weight Watchers a principios de este mes a la que se podía acceder a través de Internet, sin ninguna protección con contraseña. Weight Watchers, que ha sido notificado y ya ha asegurado la consola, señala que su infraestructura se ha visto comprometida. También confirma que no se vieron afectados los datos de los clientes.

"Sin embargo, el peligro de la exposición es la disponibilidad online de las claves de administración root, que potencialmente podría haber abierto muchas puertas para los actores maliciosos", señalan los investigadores. “Al no proteger adecuadamente la consola de administración, Weight Watchers proporcionó todas las claves y la información necesaria para obtener acceso completo a todo su clúster. Fue muy fácil".