La mayor plataforma inmobiliaria de la India ha expuesto casi 350 millones de archivos, incluidos pasaportes de clientes y empleados y documentos financieros.
El 19 de mayo, los investigadores de Cybernews se toparon con un bucket de Google Cloud Storage mal configurado con millones de archivos en su interior.
Consiguieron atribuirlo a Square Yards, una plataforma india que ofrece "una experiencia de consumo integrada & cubre todo el viaje inmobiliario."
Con más de 7.000 empleados, Square Yards es una gran empresa de tecnología inmobiliaria (prop-tech), que se basa en el análisis de datos y herramientas de realidad virtual para ayudar a los clientes a investigar, comprar, vender y gestionar bienes inmuebles. Se dice que es la mayor plataforma integrada de la India para inmuebles e hipotecas.
La filtración expuso más de 350 millones de archivos, incluidos datos confidenciales de partes de contratos de alquiler, inquilinos, empleados actuales de la empresa y candidatos. El bucket mal configurado incluía los siguientes archivos:
- Pasaportes/DNI
- Extractos bancarios/nóminas
- Historial educativo y diplomas universitarios
- Pruebas de empleo
- Formularios cumplimentados con información bancaria y datos personales/formularios KYC
- Investigación de antecedentes
- Grabaciones de llamadas en frío a clientes/chats de WhatsApp
- CV de los candidatos
Desde entonces, el cubo está protegido. Sin embargo, incluso una breve exposición de datos sensibles puede tener consecuencias negativas, ya que los ciberdelincuentes pueden descubrir los buckets abiertos en cuestión de segundos.
¿En qué me afecta?
Las empresas inmobiliarias son de gran interés para los ciberdelincuentes, ya que recopilan gran cantidad de datos sobre propiedades, inversores, socios, prestamistas y mucho más. Con acceso a esta información, los delincuentes podrían lanzar sofisticadas campañas de phishing o incluso desplegar ransomware.
Dado que el cubo contenía información personal de clientes y empleados, podría dar lugar a casos de usurpación de identidad.
Cybernews se puso en contacto con Square Yards para saber si se había notificado la filtración a los afectados. Sin embargo, aún no hemos recibido respuesta.
Si has utilizado la plataforma en algún momento o has tenido algún otro tipo de asociación con la empresa, debes tener cuidado con los correos electrónicos y las llamadas telefónicas fraudulentas, así como vigilar de cerca tus estados financieros.
