Un database è stato esposto online su un bucket Amazon Simple Storage Service (S3) non protetto mostrando più di 36.000 documenti, tra cui scansioni di documenti di riconoscimento, carte di credito e tessere sanitarie. L’esposizione è stata scoperta dai ricercatori di cybernews.com e comprende anche contratti di iscrizione dei rappresentanti di vendita che includono informazioni di identificazione personale come nomi completi, indirizzi, numeri di identificazione fiscale e firme di cittadini prevalentemente italiani.

Il database sembra appartenere ad Ariix Italia, la filiale italiana recentemente lanciata di Ariix, una società di marketing multilivello con sede negli Stati Uniti che pubblicizza e vende prodotti per la salute e il benessere.

Al momento della scoperta, il data bucket conteneva 7.515 file PDF e 25.895 file JPG. I file includono la carta d’identità, carte d’identità elettroniche nazionali, tessere sanitarie, carte di credito, contratti di iscrizione del rappresentante di vendita. La maggior parte dei contratti nel bucket S3 sembrano essere contratti di iscrizione del rappresentante commerciale Ariix che contengono le seguenti informazioni di identificazione personale:

  • Nomi completi
  • Date di nascita
  • Numeri di identificazione fiscale
  • Indirizzi
  • Indirizzi e-mail
  • Numeri di telefono
  • Firme

Non è chiaro se eventuali attori malevoli abbiano avuto accesso al data bucket di Ariix Italia S3. I dati confermati risalgono a diversi mesi, periodo durante il quale chiunque in grado di saper cercare avrebbe potuto accedervi. Pertanto, i ricercatori avvisano a titolo precauzionale i clienti e i rappresentanti di vendita di Ariix Italia che hanno fornito alla società le proprie informazioni personali di verificare che le loro identità non siano state utilizzate per commettere frodi o altre attività illegali.

Il 28 maggio, abbiamo cercato di contattare Ariix per quanto riguarda la fuga ma non abbiamo ricevuto risposta. Abbiamo quindi segnalato l’incidente ad Amazon e sono stati in grado di proteggere il bucket S3. A partire dal 5 giugno, il data bucket di Ariix Italia è stato chiuso e non è più accessibile, comunicano i ricercatori.

 

https://cybernews.com/security/italian-sales-agents-personal-data-leaked-by-mlm-company/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE