Servidor con datos de la firma fiscal Rockerbox expuso 286 GB de registros

Se ha descubierto una vulnerabilidad de datos en Rockerbox, una consultora de crédito fiscal con sede en Texas, EE. UU. El investigador de ciberseguridad Jeremiah Fowler descubrió recientemente una base de datos sin contraseña, lo que evidencia una importante falla de seguridad. Los hallazgos fueron reportados por vpnMentor y compartidos con HackRead.com.

Rockerbox, identificada como una empresa de consultoría de crédito fiscal, ayuda a las empresas de todo Estados Unidos a identificar y gestionar incentivos fiscales centrados en el empleador a través de programas como el Crédito Fiscal por Oportunidad de Trabajo (WOTC), el Crédito Fiscal por Retención de Empleados (ERTC), los créditos de I+D y los créditos de la Zona de Empoderamiento.

La exposición involucró la alarmante cantidad de 245.949 registros, con un total de 286,9 GB de datos. Este extenso conjunto de datos incluía diversos tipos de información de identificación personal (PII), como nombres completos, fechas de nacimiento (DOB), números de la Seguridad Social (SSN) y direcciones físicas.

Para su información, PII es información que puede identificar a un individuo, directa o indirectamente, mientras que SSN es un identificador único de nueve dígitos utilizado para rastrear ganancias y para varios propósitos gubernamentales en los EE. UU.

Según el informe de Fowler, los registros expuestos también contenían documentos de identificación sensibles, como licencias de conducir y formularios DD214, que son certificados de liberación o baja del servicio activo emitidos por el Departamento de Defensa de Estados Unidos y que sirven como documentación oficial del servicio militar de un veterano.

Además, se vulneró una amplia gama de documentos laborales y fiscales. Esto incluía solicitudes de programas de crédito fiscal, junto con cartas oficiales de aceptación o denegación, que a menudo contenían información financiera y personal compleja. Si bien se denegó el acceso a algunos archivos, muchos documentos estaban fácilmente disponibles para cualquier persona con acceso a internet.

Incluso ciertos archivos PDF protegidos con contraseña tenían sus nombres expuestos, revelando información personal identificable (PII), como los nombres del empleador y del solicitante. Fowler destacó el riesgo teórico de que las partes numéricas de estos nombres de archivo pudieran contener contraseñas, y desaconsejó incrustar dichos datos.

Rockerbox, conocida por ayudar a empresas de todo Estados Unidos con incentivos fiscales en sectores como la restauración y la hostelería, la sanidad, la manufactura, el procesamiento de alimentos y la formación profesional, se enfrenta ahora a un escrutinio riguroso por su gestión de datos. Esta amplia exposición crea un gran potencial de ataques de phishing dirigidos, robo de identidad y fraude financiero , ya que actores maliciosos podrían aprovechar esta vasta reserva de información personal y financiera para obtener beneficios ilícitos.

Fowler notificó de inmediato a Rockerbox, y la base de datos fue protegida y restringida al acceso público varios días después. Sin embargo, no se recibió respuesta a su notificación de divulgación responsable. Además, se desconoce si la base de datos fue administrada directamente por Rockerbox o por un contratista externo, cuánto tiempo estuvo expuesta antes de su descubrimiento o si terceros no autorizados obtuvieron acceso.

Para las empresas y organizaciones que recopilan y almacenan datos personales potencialmente sensibles en repositorios de almacenamiento en la nube, es importante implementar las medidas de seguridad adecuadas para proteger dicha información. Esto comienza con los controles de acceso y la limitación de quién (tanto dentro como fuera de la organización) puede ver y manipular qué información, concluyó Fowler.