Genealogy Software Maker espone dati su 60.000 utenti

21 Luglio 2020 - Tempo di lettura: 4 minuti

Una società tecnologica statunitense che gestisce il famoso software dell'albero genealogico ha rivelato decine di migliaia di informazioni personali dei suoi utenti online tramite un server cloud configurato in modo errato, secondo i ricercatori.

Un team di WizCase guidato da Avishai Efrat ha scoperto che il server Elasticsearch non protetto disperde 25 GB di dati collegati agli utenti del software Family Tree Maker.

Rilasciato per la prima volta nel 1989, ha avuto numerosi proprietari aziendali, tra cui Broderbund, The Learning Company, Mattel e Ancestry.com, prima del software MacKiev, che è attualmente responsabile del codice.

WizCase ha informato la società di software statunitense dell'incidente e, sebbene non abbia ricevuto risposta, l'incidente è stato apparentemente riparato poco dopo.

Tra i dettagli divulgati su Internet di fronte al pubblico c'erano indirizzi e-mail, dati di geolocalizzazione, indirizzi IP, ID utente di sistema, messaggi di supporto e dettagli tecnici.

WizCase ha avvertito che un hacker avrebbe potuto utilizzare le informazioni per creare convincenti attacchi di phishing di follow-on e frodi di identità.

Ha inoltre affermato che i commenti trapelati e i reclami avrebbero potuto dare ai concorrenti di MacKiev l'opportunità di rivolgersi a clienti infelici, mentre i dettagli tecnici potevano essere utilizzati in modo diverso.

"La fuga ha rivelato dettagli tecnici sul back-end del sistema, che potrebbero aiutare gli aggressori a sfruttare molteplici attacchi informatici al software MacKiev e alle società associate", hanno affermato.

"In questo modo i criminali informatici possono rubare ulteriori dati utente, infettare il sistema con malware o persino assumere il controllo completo su parti dei sistemi".

Si dice che MacKiev abbia sviluppato la versione macOS di Family Tree Maker da circa il 2010 e abbia acquistato la versione Windows del software da Ancestry nel 2016.

Si pensa che circa 60.000 utenti siano stati esposti in questo snafu sulla privacy.

È uno dei tanti incidenti di questo tipo derivanti da errori di configurazione su risorse informatiche connesse a Internet. La scorsa settimana, WizCase ha rivelato problemi simili in più piattaforme di e-learning esponendo quasi un milione di record.

Le ricerche di questo mese hanno scoperto che le stesse errate configurazioni mettono a rischio la sicurezza e la privacy di innumerevoli utenti di app di appuntamenti globali.