Fortum Polonia ha expuesto su base de datos de clientes y confirma el acceso no autorizado

Fortum Polonia, un ala de la compañía energética estatal finlandesa, se filtró 3,376,912 registros de sus clientes que contenían información de identificación personal. La base de datos quedó expuesta en línea sin ninguna protección y fue encontrada por un investigador de seguridad llamado Bob Diachenko.

Descubrió esta base de datos abierta, que formaba parte de una configuración en la nube para la empresa o sus contratistas, el 15 de abril. La empresa cerró la base de datos inmediatamente después de ser contactada por Diachenko, pero confirma el acceso no autorizado.

Fortum Polonia ha expuesto su base de datos de clientes y confirma el acceso no autorizado
Fortum Polonia ha expuesto su base de datos de clientes y confirma el acceso no autorizado

Encontrado – Informado – Protegido

Fortum Poland es una empresa de energía estatal finlandesa que posee plantas de cogeneración en un área de 800 km y atiende a más de 100,000 clientes en las áreas de Plock, Wroclaw, Czestochowa, Zabrze, etc. La empresa es un productor activo de electricidad y gas para particulares y empresas. El 15 de abril de este año, un escaneo de Elasticsearch realizado por Bob Diachenko encontró una base de datos que contenía millones de registros de clientes de Fortum. El recuento exacto de registros es 3.376.912.

Este número no refleja necesariamente el número de personas afectadas, ya que son clientes que se han suscrito a diversos servicios, como calefacción, gas y electricidad. Pero, la información filtrada, que contenía el nombre completo del cliente, dirección de correo electrónico, número de teléfono, domicilio, PESEL (número de identificación nacional) y tipos de contactos que firmó.

Poco después de encontrar esta base de datos abierta, Diachenko se lo reveló a Fortum y la compañía aseguró la base de datos en 24 horas. La empresa explicó que la causa de la filtración de la base de datos se debe a que sus proveedores de servicios estaban trabajando para mejorar la eficiencia de la búsqueda de documentos. ¡Y cuando comenzó una investigación interna, confirmaron el acceso no autorizado! Afirman haber informado a la oficina de GDPR y continuar la investigación interna.

Bob Diachenko dice que varios servidores que almacenan estas bases de datos sensibles están alojados en línea de forma incorrecta. Los administradores del sistema deben proteger estos servidores con contraseñas y otros protocolos de cifrado para proteger sus bases de datos.

Fuente: Descubrimiento de seguridad