App móvil de 7-Eleven para cargar y pagar gasolina sufre brecha de datos

Especialistas en protección de datos reportan que la app para la compra de gasolina operada por la popular cadena de tiendas 7-Eleven fue objeto de un ciberataque que derivó en una brecha de datos confidenciales, incluyendo nombres de usuarios, números de teléfono, entre otros.

Este jueves, la compañía optó por desconectar la app por unas horas, luego de que uno de los usuarios notificara que era posible acceder a la información personal de muchos otros usuarios a través de la aplicación, que cuenta con alrededor de dos millones de descargas. La app permite realizar pagos por combustible de forma anticipada, lo que los usuarios tratan de aprovechar para llenar sus tanques de gasolina al precio más bajo posible.

El usuario que reportó el error, cuya identidad no fue revelada, mencionó que descubrió la filtración hace algunos días, mientras trataba de ingresar a la app como de costumbre. Al iniciar sesión con sus propias credenciales de acceso, encontró la información de la cuenta de otro usuario en lugar de la suya. Al salir y volver a iniciar sesión, encontró los datos de un usuario diferente. Después de comprobar la veracidad del reporte del usuario, los equipos de protección de datos de 7-Eleven anunciaron el mantenimiento de emergencia.

Horas después, un portavoz de la compañía mencionó que la app ya se encontraba en línea nuevamente, aunque agregó que no podía comentar nada respecto al incidente de ciberseguridad, debido a que la investigación sigue en curso. “Se detectaron algunos problemas técnicos en la aplicación (7-Eleven Fuel). El problema ya ha sido resuelto y los servicios se encuentran disponibles para todos los usuarios. Seguiremos investigando el incidente en colaboración con las autoridades correspondientes”, concluyó el portavoz.

Debido a que el incidente ocurrió en Australia, los expertos en protección de datos mencionan que la compañía debe apegarse a las leyes en materia de protección de datos en dicho país. Acorde a la legislación australiana, las compañías víctimas de brechas de datos deben notificar a la Oficina del Comisionado de Información, así como a los usuarios afectados, cuando el incidente involucre información que pueda ser usada en perjuicio de los usuarios.

Algunas horas después, un representante de la Oficina del Comisionado de Información de Australia confirmó ante medios locales que la compañía ya había comenzado el proceso: “Podemos confirmar que hemos recibido una notificación sobre una posible brecha de datos en 7-Eleven”. Hasta este punto del 2019, esta organización ha recibido mil 160 reportes sobre brechas de datos, incluyendo 900 incidentes considerados de alta seriedad.

Otros incidentes de ciberseguridad han acontecido recientemente en esta cadena de tiendas. Hace algunos meses, especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que 7-Eleven Japón suspendió su servicio de pago móvil (que acababa de ser implementado) después de que un tercero no autorizado lograra explotar una vulnerabilidad para realizar cargos a las cuentas de otros clientes de manera fraudulenta.