Una falla de seguridad en la plataforma de Servientrega permite acceso a miles de datos personales de sus clientes
El 7 de marzo un analista anónimo de ciberseguridad compartió con la cuenta oficial de X de Servientrega lo que sería una falla de seguridad que permite la descarga de bases de datos con información personal de clientes de la empresa de mensajería.
Haciendo uso de una técnica llamada Google Dorks – que consiste en usar ciertos parámetros de Google para hacer búsquedas específicas, el analista encontró por casualidad, encontró URL desde donde se puede descargar información de envíos con datos personales como Origen del paquete, Destino, Número de Guía, nombre del remitente, identificación del remitente, nombre del destinatario, dirección del destinatario y seis datos más sobre las entregas.
El parametro usado con la técnica Google Dorks fue compartido con MuchoHacker.lol y se pudo comprobar la vulnerabilidad y el acceso las bases de datos. Con el parámetro se puede observar archivos indexados con información privada y documentos en PDF y XLS con los datos.
A las 11:20 de la mañana del día de hoy se le pidió a Servientrega en su cuenta oficial en X una opinión sobre la advertencia pero no hubo respuesta. La información con datos personales sigue accesible.
Datos personales que ahora son públicos
Un Google Dork es un parametro que se puede usar dentro de Google para que el buscador sea más eficiente. Esta imagen muestra su uso dentro del dominio Servientrega.com y como resultado aparecen documentos en PDF y XLS con cientos o miles de datos. Es básicamente incontable.
Es poco comprensible como una empresa de la envergadura de Servientrega tiene esta información disponible cuando existen técnicas básicas para indicarle a Google qué contenido no debe indexar. Google automáticamente ha indexado los datos y no solo aparecen en la búsqueda orgánica de palabras sino en imágenes.
Los documentos que se pueden descargar son archivos en PDF y XLS similares a este donde se observan tablas con toda los datos personales. Solo este documento tiene 40 páginas y 5.212 registros cada uno de ellos con datos personales.
Esta situación se hace justamente días después de que la Superintendente iniciara una investigación por “exposición de datos personales” luego de que se hicieran públicos unos videos de Tik Tokers que compran paquetes no reclamados. En esta oportunidad se mencionó a la empresa Servientrega que ahora protagoniza este nuevo caso de exposición de datos personales.
Aún no se conocen los resultados de la investigación que se publicitó el 24 de febrero. Tampoco se conoce si estos hallazgos motivarán investigaciones de la SIC aún cuando es una hecho comprobable la exposición de los datos.
Esa falla de seguridad es muy común en los sitios web de la Rama Judicial en Colombia.