Sin las medidas de protección necesarias, las brechas de datos pueden ocurrir en cualquier compañía, sin importar su tamaño o giro de negocios. Especialistas en pruebas de penetración informan sobre un incidente de ciberseguridad en la sucursal de Australia de la cadena de restaurantes TGI Fridays, exponiendo la información de miles de sus clientes.
Todos los clientes afectados, principalmente los miembros de MyFriday, el programa de recompensas de la cadena, fueron notificados sobre el incidente este fin de semana. Además, la compañía les aconsejó restablecer la contraseña de sus cuentas del programa.
Aparentemente el incidente se presentó debido a una configuración de seguridad errónea en uno de los servidores de la compañía. Un portavoz de TGI Fridays afirma que la información de las tarjetas de pago de los clientes no fue comprometida durante el incidente, aunque no se especifica cuáles son los datos personales que permanecieron expuestos, mencionan los expertos en pruebas de penetración.
La compañía notificó a la Oficina del Comisionado de Información de Australia (OAIC) sobre la brecha de datos, haciendo énfasis en que el incidente fue provocad por un error técnico, además de descartar la posible intrusión de un actor de amenazas en los sistemas de la cadena de restaurantes. Apenas hace un par de días, la OAIC había revelado las cifras actualizadas sobre incidentes de ciberseguridad, reportando que, entre abril y junio de este año han ocurrido 245 diferentes casos de violaciones de seguridad y brechas de datos.
Acorde a los expertos en pruebas de penetración que colaboraron con la OAIC en este reporte trimestral, el factor humano propenso a cometer errores es un elemento recurrente en gran parte de esta clase de incidentes. No obstante, los incidentes de seguridad provocados intencionalmente por grupos de actores de amenazas prevalecen en estos reportes, pues 6 de cada 10 incidentes de ciberseguridad son considerados ciberataques.
La nueva política de la OAIC obliga a las compañías que operen con datos personales en territorio australiano a reportar cualquier incidente de seguridad informática bajo un nuevo esquema, conocido como Brechas de Datos Notificables (NDB), implementado hace alrededor de un año.
Bajo este nuevo esquema, las compañías privadas, agencias gubernamentales y otras organizaciones deberán reportar estos incidentes dentro de los primeros 30 días posteriores a su detección, sobre todo si el incidente es lo suficientemente serio para comprometer sus operaciones y causar grandes daños. Angelene Falk, Comisionada de Información y de la Oficina de Privacidad de datos de Australia, afirma que este nuevo régimen ha sido adoptado de la mejor manera por las compañías que operan en Australia, además “ayudará a las autoridades y empresas a mejorar los protocolos de respuesta a esta clase de incidentes”.
Acorde a especialistas en pruebas de penetración del Instituto Internacional de Seguridad Cibernética (IICS) afirman que las brechas de datos derivadas de errores humanos siguen siendo demasiado comunes. Recientemente, millones de usuarios del sitio web para adultos Luscious sufrieron la exposición de algunos datos personales debido a configuraciones erróneas en los sistemas del sitio web. Entre los datos comprometidos se encuentran detalles personales como nombres de usuario, direcciones email, género, historial de actividad en el sitio, datos de ubicación y, en algunos casos, los nombres completos de los usuarios.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
