Casio Computer Co., Ltd. ha demanat disculpes públicament per una important vulnerabilitat de dades a conseqüència d’un accés no autoritzat al seu servidor. El servidor compromès contenia detalls personals de clients registrats en el servei web educatiu de Casio, “ClassPad[.]net”. Aquest incident va afectar tant a clients nacionals com internacionals.
La vulnerabilitat es va identificar l’11 d’octubre quan l’equip de desenvolupament de Casio va detectar una fallada en la base de dades dins de l’entorn de ClassPad.net. Una investigació posterior el 12 d’octubre va revelar que les dades personals dels clients fora del Japó havien estat accedides i filtrades. Aquest accés no autoritzat es va deure a certes configuracions de seguretat de la xarxa que van ser desactivades per error en l’entorn de desenvolupament pel departament de gestió de sistemes de Casio. Aquesta supervisió, juntament amb la falta d’una adequada gestió operativa, va permetre a entitats externes explotar aquestes vulnerabilitats.
Les dades exposades incloïen noms de clients, adreces de correu electrònic, país o regió de residència, detalls de compres, informació d’ús del servei i més. Cal destacar que els detalls de les targetes de crèdit no estaven emmagatzemats en la base de dades compromesa. La vulnerabilitat va afectar un nombre significatiu d’individus: 91.921 registres al Japó, abastant 1.108 institucions educatives i clients individuals, i 35.049 registres de 148 països i regions fora del Japó.
Com a resposta, Casio ha pres mesures ràpides. Totes les bases de dades afectades han estat aïllades de qualsevol accés extern. L’incident ha estat notificat a la Comissió de Protecció d’Informació Personal del Japó i a JUAS, una organització de certificació de privadesa. Casio també està col·laborant amb experts en seguretat externs per a investigacions addicionals i està considerant accions legals, incloent la col·laboració amb agències d’aplicació de la llei. L’empresa s’està posant en contacte activament amb tots els clients potencialment afectats.
Malgrat la vulnerabilitat, no es va produir cap accés no autoritzat a l’aplicació “ClassPad.net”, que continua operativa. Casio s’ha compromès a millorar les seves mesures de seguretat, revisar els procediments operatius i intensificar la formació dels seus empleats per prevenir futurs incidents.
Source: GBHackers
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.