Adafruit revela una fuga de datos del repositorio de GitHub de un ex empleado

Adafruit ha revelado una fuga de datos que se produjo debido a un repositorio de GitHub visible públicamente.

La compañía sospecha que esto podría haber permitido el "acceso no autorizado" a la información sobre ciertos usuarios en 2019 o antes.

Con sede en la ciudad de Nueva York, Adafruit produce componentes de hardware de código abierto desde 2005. La empresa diseña, fabrica y vende productos electrónicos, herramientas y accesorios.

Índice de contenidos
  1. El repositorio de GitHub de un ex-empleado tenía datos de clientes reales
  2. Los usuarios exigen notificaciones adecuadas

El repositorio de GitHub de un ex-empleado tenía datos de clientes reales

El viernes 4 de marzo, Adafruit anunció que un repositorio de GitHub de acceso público contenía un conjunto de datos que incluía información sobre algunas cuentas de usuario. Esta información incluía:

  • nombres
  • correos electrónicos
  • direcciones de envío/facturación
  • detalles del pedido
  • estado de colocación del pedido a través del procesador de pago o PayPal

El conjunto de datos, según Adafruit, no contenía contraseñas de usuario ni información financiera como tarjetas de crédito. Sin embargo, la exposición de los datos de los usuarios reales, incluidos los detalles de los pedidos, podría ser utilizada por los spammers y los actores de phishing para dirigirse a los clientes de Adafruit.

Curiosamente, la fuga de datos no se produjo en el repositorio de GitHub de Adafruit sino en el de un ex empleado. Parece que un ex empleado estaba usando información real del cliente para operaciones de capacitación y análisis de datos en su repositorio de GitHub.

"Dentro de los 15 minutos de haber sido notificado sobre la divulgación inadvertida, Adafruit trabajó con el exempleado, eliminó el repositorio relevante de GitHub y el equipo de Adafruit comenzó el proceso forense para determinar si hubo acceso y qué tipo de datos estaban involucrados". explicó la empresa.

Los usuarios exigen notificaciones adecuadas

En este momento, Adafruit no tiene conocimiento de que un adversario haya hecho un uso indebido de la información expuesta y afirma que está divulgando el incidente "por transparencia y responsabilidad".

Sin embargo, la compañía ha decidido no enviar correos electrónicos a todos los usuarios sobre el incidente.

Adafruit explica que, aunque todas las divulgaciones de seguridad se publican en el blog y las páginas de seguridad de la empresa, los usuarios no deben realizar ninguna acción, ya que no se expusieron contraseñas ni información de tarjetas de pago en el conjunto de análisis de datos.

"Evaluamos el riesgo y consultamos con nuestros abogados de privacidad y expertos legales, y adoptamos el enfoque que pensamos que mitigaba adecuadamente cualquier problema mientras éramos abiertos y transparentes y no creíamos que enviar correos electrónicos directamente fuera útil en este caso", afirma el director general de Adafruit, Phillip Torrone. , y el fundador Limor "Ladyada" Fried.

Pero, no todos los clientes de Adafruit están convencidos, y se enviarán algunas notificaciones por correo electrónico exigentes con respecto al incidente:

Una de las principales preocupaciones entre los usuarios es la presencia de información real del cliente en el repositorio de GitHub de un antiguo miembro del equipo, en lugar de utilizar datos de preparación "falsos" generados automáticamente. Y, cómo esta información podría ser mal utilizada por los actores de phishing:

Vale la pena señalar que mantener los datos reales de los clientes en los repositorios de GitHub, incluso los privados, es una decisión arriesgada.

El año pasado, el gigante del comercio electrónico Mercari sufrió una fuga de datos a través de su repositorio privado de GitHub que expuso más de 17,000 registros de clientes, incluida la información bancaria. Rapid7 también sufrió una fuga de datos a través de un repositorio privado de GitHub que afectó a un "pequeño subconjunto de clientes".

"Además, estamos implementando más protocolos y controles de acceso para evitar cualquier posible exposición de datos en el futuro y limitando el acceso para el uso de capacitación de los empleados", dice Adafruit.

Los usuarios deben permanecer atentos a cualquier estafa de phishing o comunicaciones que puedan recibir haciéndose pasar por personal de Adafruit. La compañía advierte especialmente contra las alertas falsas de "restablecimiento de contraseña" que pueden incitar a las víctimas a revelar sus contraseñas.

Adafruit solicita que las inquietudes relacionadas con dichos correos electrónicos sospechosos o intentos de acceso no autorizado por parte de actores de amenazas se dirijan a [email protected]

Descubre más contenido

Subir Change privacy settings