Un servidor desprotegido compromete a Weight Watchers
- Actualidad
Weight Watchers confirma que ni su infraestructura ni los datos de los clientes se vieron afectados. Sin embargo, la exposición ha dejado las claves de administración root disponibles online, lo que potencialmente podría haber abierto muchas puertas a actores maliciosos.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Un servidor crítico del popular servicio de pérdida de peso Weight Watchers se dejó sin protección, lo que permitió a los investigadores de Kromtech Security extraer parte de las docenas de contenedores S3 expuestos con datos de la empresa y claves de acceso a AWS, aunque no vieron expuesta ninguna información de identificación personal.
Los investigadores descubrieron una consola de administración Kubernetes de Weight Watchers a principios de este mes a la que se podía acceder a través de Internet, sin ninguna protección con contraseña. Weight Watchers, que ha sido notificado y ya ha asegurado la consola, señala que su infraestructura se ha visto comprometida. También confirma que no se vieron afectados los datos de los clientes.
"Sin embargo, el peligro de la exposición es la disponibilidad online de las claves de administración root, que potencialmente podría haber abierto muchas puertas para los actores maliciosos", señalan los investigadores. “Al no proteger adecuadamente la consola de administración, Weight Watchers proporcionó todas las claves y la información necesaria para obtener acceso completo a todo su clúster. Fue muy fácil".