Especialistas en protección de datos de la firma de seguridad vpnMentor reportaron la detección de una brecha de datos en una plataforma web de Rumania, propiedad de la compañía tabacalera British American Tobacco; con sede en Reino Unido, esta es una de las compañías fabricantes de productos de tabaco y nicotina más grandes del mundo.
El equipo de investigación de vpnMentor, liderado por el reconocido experto Noam Rotem, encontró la brecha de datos en un servidor no asegurado conectado a la plataforma web YOUniverse(.)ro, un dominio que forma parte de una campaña de marketing dirigida a los consumidores de tabaco mayores de edad.
Esta plataforma recopila algunos registros de ciudadanos rumanos que aspiran a ganar entradas para eventos, fiestas y presentaciones de artistas locales e internacionales. A pesar de que las leyes en Rumania prohíben casi cualquier tipo de publicidad relacionada con el consumo del tabaco existen algunas excepciones, por lo que es posible para las tabacaleras realizar campañas de marketing dirigidas sólo a consumidores mayores de 18 años.
Al detectar la base de datos expuesta, los expertos en protección de datos no sólo descubrieron que múltiples detalles personales se encontraban almacenados, sino que también se comprobó que el servidor no asegurado ya había sido infectado con una variante de ransomware.
Aunque los investigadores trataron de reportar la base de datos expuesta en múltiples ocasiones (tanto a la compañía tabacalera, a los operadores de la base de datos y a las autoridades rumanas), la información permaneció expuesta por al menos un par de meses. Finalmente, el acceso a la base de datos fue clausurado el 27 de noviembre, no obstante, ninguna organización respondió al reporte.
Entre los principales detalles expuestos durante el incidente destacan:
- Nombres completos
- Fechas de nacimiento
- Números telefónicos
- Direcciones email
- Algunos detalles sobre hábitos de consumo de tabaco
Para completar su registro, los usuarios debían ingresar un código obtenido a través de la compra de un paquete de cigarrillos.
Hasta ahora los expertos en protección de datos no han podido determinar un número de usuarios potencialmente afectados; no obstante, a pesar de que múltiples entradas en la base de datos se repiten o están vacías, cada registro diario cuenta con alrededor de 50 millones de entradas, por lo que el alcance de este incidente podría ser altamente considerable.
Los principales riesgos de seguridad para los usuarios afectados se relacionan con el uso malicioso de la información personal; un actor de amenazas podría estar preparando una campaña de spear phishing dirigida contra los consumidores de estos productos y, aunque la brecha de datos no incluye información financiera, algunos fraudes podrían ser posibles usando sólo información como nombre y números telefónicos. Otros servicios, como la venta de seguros, podrían aprovecharse de esta información, pues es muy común que las aseguradoras eleven sus tarifas en caso de que un cliente sea consumidor de tabaco.
Este es un ejemplo perfecto de las consecuencias de no asegurar correctamente un servidor, mencionan los expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS). Para evitar esta clase de incidentes, se recomienda tomar medidas de seguridad básicas como la implementación de autenticación para el acceso a cualquier área del sistema y una adecuada configuración de reglas de acceso.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad