Brecha de datos en Wyzant, sitio web para contratar tutores

Después de realizar una auditoría informática, los operadores de Wyzant, un sitio web para contactar tutores personales en más de 200 materias diferentes, han confirmado una brecha de datos que expone detalles sensibles de los usuarios de la plataforma. Actualmente Wyzant cuenta con más de dos millones de usuarios y más de 70 mil tutores activos.

Wyzant envió una notificación vía email a los usuarios afectados; en el mensaje, la compañía afirma que un atacante no identificado consiguió acceso a una de las bases de datos a finales del mes de abril. Los operadores de Wyzant mencionan que detectaron el incidente hasta una semana después.

Acorde a los encargados de realizar la auditoría informática, entre los detalles personales obtenidos por los atacantes se encuentran:

  • Nombre completo
  • Dirección email
  • Detalles de domicilio
  • Detalles del perfil de Facebook (sólo en algunos casos)

Cabe destacar que la información expuesta no incluye contraseñas, detalles de tarjetas de pago o registros de actividad en Wyzant.

La compañía no ha mencionado información adicional, como detalles técnicos del ataque o alcance, sólo han asegurado que la vulnerabilidad que los atacantes explotaron para acceder a su base de datos ya ha sido corregida.

Wyzant afirma que continuará implementando un proceso de auditoría informática en toda su infraestructura de TI; la compañía también ha asegurado que los clientes serán alertados sobre cualquier nueva información relevante.

“Hemos implementado algunas medidas de seguridad adicionales, como la revisión de nuestras políticas y protocolos de seguridad ante esta clase de incidentes; la protección de la privacidad de nuestros usuarios estará garantizada en el futuro”, menciona el comunicado de Wyzant.

Diversos miembros de la comunidad también han tratado de contactar a la compañía para conocer más detalles sobre el incidente; Wyzant afirma que publicará un informe una vez que la investigación concluya.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios afectados estar alertas ante las posibles campañas de phishing derivadas de este incidente, pues múltiples grupos de actores maliciosos podrían haber conseguido acceso a la base de datos comprometida.