L’italiana Navionics S.p.A. – il principale produttore di carte elettroniche nautiche per naviganti, acquisita l’anno scorso da Garmin – ha inavvertitamente esposto su Internet un database con i dati di 261.259 clienti.
Il database aperto è stato indicizzato il 9 settembre dal motore di ricerca Shodan e il 10 settembre è stato scoperto dal ricercatore Bob Diachenko. I contenuti del database comprendevano indirizzi e-mail, in certi casi i nomi degli acquirenti, gli identificativi dei prodotti ordinati e gli username.
[NEW REPORT] A Garmin-owned navigation company inadvertently exposed customer information. Read more at: https://t.co/S2x7EZHcRo
— Bob Diachenko (@MayhemDayOne) October 8, 2018
L’11 settembre Diachenko ha avvertito i responsabili di Navionics, che si sono mossi in fretta: lo stesso giorno della notifica hanno disattivato il server e hanno iniziato a investigare l’accaduto.
A detta del ricercatore il problema era dovuto a delle impostazioni errate sul database MongoDB, ma fortunatamente non sono stati trovati indicatori che lascino pensare a un “furto” dei dati, come ad esempio modifiche ai record, cancellazioni o richieste di riscatto (attività comuni quando un criminale accede a un db aperto).
La stessa azienda rassicura, in una dichiarazione raccolta da Diachenko, che i dati non sono stati oggetto di furto. Sempre nella stessa dichiarazione la società afferma di aver avvertito per e-mail i clienti interessati:
Navionics takes data protection very seriously, and we are grateful that Mr. Diachenko notified us of this misconfiguration using the responsible disclosure model. Once notified, we immediately investigated and resolved the vulnerability. Following our investigation, we confirmed that none of the records or data were otherwise accessed or exfiltrated, and none of the data was lost. Even so, Navionics still notified affected customers via e-mail by October 8, 2018
