Un sitio web de viajes Orbitz.com propiedad de Expedia Inc. ha sufrido una violación masiva de datos en la que los datos personales y financieros de más de 800,000 clientes registrados pueden haber sido robados por hackers desconocidos.
En un comunicado, la compañía dijo que la violación fue identificada el 1 de marzo de 2018 después de una investigación en profundidad realizada por investigadores de seguridad de la información por parte de Orbitz. La violación tuvo lugar entre octubre de 2017 y diciembre de 2017 cuando los piratas informáticos accedieron a una plataforma de reserva de viajes heredada y robaron dos años de datos a partir de enero de 2016 y diciembre de 2017.
Además, los hackers también pudieron acceder a los datos personales de los clientes que realizaron determinadas compras entre enero y junio de 2016.
Los datos robados incluyen nombres, direcciones de correo electrónico, números de teléfono, sexo, fecha de nacimiento, código postal, dirección física y datos bancarios, como información de la tarjeta. Para seguir investigando el problema, una compañía forense de seguridad de la información está llevando a cabo investigaciones mientras que la policía también ha sido informada.
“Estamos trabajando rápidamente para notificar a los clientes y socios afectados”. Estamos ofreciendo a las personas afectadas un año de monitoreo de crédito complementario y servicio de protección de identidad en los países donde esté disponible. Además, proporcionamos a los socios un servicio gratuito de notificación a los clientes para que los socios informen a sus clientes, de ser necesario “, dijo la compañía.
Carl Wright, Director de Ingresos de AttackIQ, dijo en un correo electrónico que:
“Una semana apenas pasa sin la divulgación de una infracción significativa en estos días. En algún momento, los ejecutivos corporativos y la Junta Directiva comenzarán a preguntar qué parte del presupuesto de tecnología de la información se está asignando a la validación y prueba del control de seguridad. Si es menor al 10% del presupuesto de seguridad, pueden tener algunos desafíos reales que demuestren que el programa de seguridad es efectivo. Es mucho más barato validar continuamente tu seguridad mediante simulación de ataque que recuperarse de una infracción”.
“Orbitz no está solo en su falta de visibilidad en algunos sistemas. Cualquier organización que es adquirida o está adquiriendo otro negocio y sus activos de TI generalmente tienen un punto ciego importante con respecto a sus sistemas heredados o no productivos”, dijeron analistas de seguridad de la información.
“Como en el caso de la mayoría de las auditorías y autopsias en caso de incumplimiento, es probable que Expedia revise la infraestructura afiliada con sus adquisiciones anteriores, como Travelocity, para garantizar que todas sus bases de datos no se vean afectadas de manera similar. Siempre es una preocupación cuando una organización solo se da cuenta de una infracción meses o años después de que se produce, destacando la insuficiencia de las soluciones de seguridad reactiva y los procesos de auditoría”.
El año pasado en diciembre se produjo una infracción similar en la que la empresa canadiense de gestión de pagos TIO Networks comprada por PayPal en julio de 2017 por $ 233 millones (€ 196m) en efectivo sufrió una violación de datos en la que se robó información personal de 1,6 millones de clientes.
Un sitio web de viajes Orbitz.com propiedad de Expedia Inc. ha sufrido una violación masiva de datos en la que los datos personales y financieros de más de 800,000 clientes registrados pueden haber sido robados por hackers desconocidos.
En un comunicado, la compañía dijo que la violación fue identificada el 1 de marzo de 2018 después de una investigación en profundidad realizada por investigadores de seguridad de la información por parte de Orbitz. La violación tuvo lugar entre octubre de 2017 y diciembre de 2017 cuando los piratas informáticos accedieron a una plataforma de reserva de viajes heredada y robaron dos años de datos a partir de enero de 2016 y diciembre de 2017.
Además, los hackers también pudieron acceder a los datos personales de los clientes que realizaron determinadas compras entre enero y junio de 2016.
Los datos robados incluyen nombres, direcciones de correo electrónico, números de teléfono, sexo, fecha de nacimiento, código postal, dirección física y datos bancarios, como información de la tarjeta. Para seguir investigando el problema, una compañía forense de seguridad de la información está llevando a cabo investigaciones mientras que la policía también ha sido informada.
“Estamos trabajando rápidamente para notificar a los clientes y socios afectados”. Estamos ofreciendo a las personas afectadas un año de monitoreo de crédito complementario y servicio de protección de identidad en los países donde esté disponible. Además, proporcionamos a los socios un servicio gratuito de notificación a los clientes para que los socios informen a sus clientes, de ser necesario “, dijo la compañía.
Carl Wright, Director de Ingresos de AttackIQ, dijo en un correo electrónico que:
“Una semana apenas pasa sin la divulgación de una infracción significativa en estos días. En algún momento, los ejecutivos corporativos y la Junta Directiva comenzarán a preguntar qué parte del presupuesto de tecnología de la información se está asignando a la validación y prueba del control de seguridad. Si es menor al 10% del presupuesto de seguridad, pueden tener algunos desafíos reales que demuestren que el programa de seguridad es efectivo. Es mucho más barato validar continuamente tu seguridad mediante simulación de ataque que recuperarse de una infracción”.
“Orbitz no está solo en su falta de visibilidad en algunos sistemas. Cualquier organización que es adquirida o está adquiriendo otro negocio y sus activos de TI generalmente tienen un punto ciego importante con respecto a sus sistemas heredados o no productivos”, dijeron analistas de seguridad de la información.
“Como en el caso de la mayoría de las auditorías y autopsias en caso de incumplimiento, es probable que Expedia revise la infraestructura afiliada con sus adquisiciones anteriores, como Travelocity, para garantizar que todas sus bases de datos no se vean afectadas de manera similar. Siempre es una preocupación cuando una organización solo se da cuenta de una infracción meses o años después de que se produce, destacando la insuficiencia de las soluciones de seguridad reactiva y los procesos de auditoría”.
El año pasado en diciembre se produjo una infracción similar en la que la empresa canadiense de gestión de pagos TIO Networks comprada por PayPal en julio de 2017 por $ 233 millones (€ 196m) en efectivo sufrió una violación de datos en la que se robó información personal de 1,6 millones de clientes.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
