Datos de FitMetrix expuestos en servidores Elasticsearch
El investigador de seguridad Bob Diachenko descubrió, el 5 de octubre de 2018, una base de datos en Elasticsearch perteneciente a FitMetrix, con 119 GB de datos de clientes e instalaciones de gimnasios sin securizar. FitMetrix es una empresa propiedad de Mindbody que diseña software para controlar el rendimiento de los clientes en los gimnasios.
La base de datos expuesta contenía dos índices con 122.869.970 y 113.521.722 millones de registros, respectivamente. Entre los datos filtrados se encontraban nombre, sexo, correo electrónico, fecha de nacimiento, información de contacto en caso de emergencia y la relación del contacto con el cliente, apodo, talla de calzado, estatura y peso, ID de Facebook, teléfono móvil, teléfono de casa y nivel de actividad.
Jason Loomis, CISO de Mindbody, reconoció la fuga de datos y aseguró que aprovecharían este incidente para mejorar su seguridad. Finalmente, la base de datos fue securizada el 10 de octubre de 2018.
- 11/10/2018 linkedin.com FitMetrix exposed millions of customers records in a passwordless database
- 11/10/2018 zdnet.com FitMetrix user data exposed via passwordless ElasticSearch server cluster
- 12/10/2018 techcrunch.com MindBody-owned FitMetrix exposed millions of user records — thanks to servers without passwords
- 11/10/2018 threatpost.com FitMetrix Exposes Millions of Customer Details, Accessed by Criminals
- 16/10/2018 blog.segu-info.com.ar FitMetrix deja al descubierto millones de datos de clientes, a los que han accedido cibercriminales