Misconfigurations - Capítulo 11: Servidor expuso datos de Miscorp, S.A. en Guatemala
Miscorp fue alertado sobre esta situación y el servidor dejó de estar expuesto hace unos días.
Capítulo 11:
Un servidor mal configurado, expuesto sin contraseña, ha sido detectado nuevamente durante mis investigaciones. Para realizar una divulgación responsable, identifiqué que esta entidad es de América Latina, ubicada geográficamente en Guatemala.
Tras revisar y explorar el contenido del servidor, me contacté con la empresa enviando un correo electrónico para informar responsablemente sobre lo encontrado. Envié el mensaje a las direcciones de correo del administrador, soporte, info y de algunos empleados. En algunos casos, los correos fueron devueltos, indicando que ciertas direcciones no estaban disponibles.
Sin embargo, no todos los correos rebotaron, por lo que asumí que al menos a alguien le llegó mi mensaje.
El 14 de abril, envié un correo indicando que un servidor estaba expuesto públicamente sin protección. Advertí sobre el peligro de que terceros pudieran haber descargado este material y mencioné que sus archivos, denominados 'Documentos', 'Gestiones', 'Uploads' y 'Recibos', estaban expuestos.
Además, proporcioné enlaces que evidenciaban el problema y recomendé que su administrador o persona encargada bloqueara el acceso para evitar accesos no autorizados. Aunque el correo nunca recibió respuesta, el servidor fue cerrado hace unos días.
¿Qué es Miscorp?
Miscorp, S.A., en su página web y redes sociales, se define como una empresa del sector de recursos humanos, especializada en reclutamiento y selección, outsourcing, gestión de empleo, entre otros servicios.
¿Qué datos exponía este servidor?
Contaba con varios documentos desprotegidos, por ejemplo, documentos denominados 'Recibos'. Estos documentos mostraban el nombre del empleado, puesto, concepto, entidad emisora, días laborados y otros detalles.
Otro documento denominado 'Actualización de datos' revela información de una empleada o ex empleada llamada Stephany, incluyendo su DPI, número de celular, dirección, fecha de nacimiento, nacionalidad, estado civil, información sobre vivienda propia y un contacto de emergencia con su respectivo número de celular.
Estos archivos estaban disponibles en el servidor de Miscorp sin medidas de seguridad.
Otros Archivos tenían nombre de Registro Electronico de Contrato Individual de Trabajo, se exponia nombre del trabajador , DPI, nombre del empleador, DPI del empleador, firmas del empleador y trabajador.
Otros documentos como cédulas de identidad, constancias transitorias de inexistencia de reclamación de cargos, diplomas, currículums vitae, informes de antecedentes penales y tarjetas de salud, todos estos archivos expuestos debido a una mala configuración.
Si tienes una mala configuración que haz reportado pero no ha sido corregida, me puedes contactar por mis redes sociales: chum1ng0 o mi correo:📧 chum1ng0@tutanota.com.
Si quieres me puedes colaborar con un café: