BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Digi sufre un ciberataque que ha comprometido datos personales de sus clientes

Joshua Llorach
Hackeo Digi

Digi ha sufrido hackeo de sus sistemas y está informando a los clientes cuyos datos personales han sido filtrados en un incidente de seguridad.

Digi se suma al listado de operadoras de telecomunicaciones que tienen que hacer frente a un incidente de seguridad en el que se comprometen los datos personales de su cartera de clientes.

En las últimas horas la compañía está poniéndose en contacto con sus clientes a través de un correo electrónico para cumplir con el requisito legal de comunicar a los afectados que se ha producido una filtración de la información personal que custodian sus sistemas.

La empresa explica en el comunicado que cuenta con mecanismos para prevenir este tipo de incidentes, sin embargo éstos no han sido suficientes para evitar un acceso no autorizado a "parte de la información personal de algunos de nuestros clientes" que no incluye el DNI o la cuenta bancaria. Como en la mayoría de comunicados de este tipo, el texto proporciona muy poca información acerca de la naturaleza del incidente, el detalle de los datos comprometidos o la cantidad de clientes que se han visto afectados.

Nos ponemos en contacto contigo para informarte de que recientemente hemos identificado un acceso no autorizado a uno de nuestros sistemas. Esto supone que hayan podido acceder a parte de la información personal de algunos de nuestros clientes, pero, en ningún caso, a datos como el DNI o el número completo de cuenta bancaria

La operadora asegura que ha identificado el problema reforzando los mecanismos de seguridad para prevenir nuevas fugas. Los sistemas siguen funcionando con normalidad y el caso está en mano de las autoridades con el fin de identificar el origen.

Gracias a situaciones similares que se han dado con anterioridad en otras operadoras como Movistar o MásMóvil sabemos que el objetivo de los cibercriminales suele ser recopilar una base de datos con información personal de clientes para comercializarla en la dark web. El acceso a los sistemas suele obtenerse mediante el engaño a empleados para que faciliten sus credenciales. La información obtenida es utilizada en el mejor de los casos para ejecutar técnicas comerciales muy agresivas que rozan el engaño o para cometer fraude mediante phising al conseguir la credibilidad de la víctima gracias a que el mensaje está personalizado.

💬 Comentarios

1
PezDeRedes
7

Estamos completamente vendidos.

Se debería estuiar la forma de implementar un zero trust incluso para los empleados, limitando al máximo la información a la que sus credenciales dan acceso, así como cuándo tienen dicho acceso.

Sé que suena radical y jodido, pero es que macho, esto se ha ido de las manos.

🗨️ 7
EmuAGR
1

Como no hay multas ejemplarizantes pues ya ven que es más barato mandar un correo de disculpa que contratar a un equipo de seguridad.

Bramante
6

Sé que suena radical y jodido

Para nada. Yo lo veo lógico y necesario.

Zero trust a rajatabla, se acabó el Castle and moat. Cada usuario que tenga que interactuar con el sistema, que lo haga con el mínimo número de permisos necesarios para hacer su trabajo.

Política de contraseñas rigurosa, autenticación de doble factor en cada uno de los servicios que sea posible implementarlo, cierres de sesión a en plazos predefinidos, etc.

Y por encima de todo, absolutamente ningún tipo de excepción en políticas de seguridad, ni por comodidad ni por ostias.

Aun así, con el asedio actual, seguirán existiendo ataques exitosos, pero al menos, que se eviten los evitables.

lhacc

Entonces se te quejan los del SAC de que el sistema no les deja hacer nada.

🗨️ 3
Jav9i

Si el sistema lo montas bien, basicamente solo te deja ver la ficha del numero que llama si es propio, metiendo el DNI para confirmar.

Si llama de un numero externo ya habría que meter ambos datos.

Pero no entran por el SAC para estos ataques desde luego.

PezDeRedes

Como si quieren hacer una cacerolada en la puerta. Yo creo que la seguridad de los clientes debe ser lo primero y las cosas han cambiado mucho, esto no es lo que era hace 15 años, literalmente es raro el día que no hay un ciberataque.

Meruni
4

UN empleado del SAC no necesita acceder a 10000 registros de la tabla de clientes en un día.

Pero vamos, ni el SAC, ni nadie. En el momento que se detecte que un usuario no para de consultar registros uno tras otro deben saltar todas las alarmas.

naveganteperdido

a mi me parece que la mayoria de estos ataques se evitarian si la mayoria de empleados tuvieran acceso a solo unos pocos datos cada vez, asi si resulta que el atacante en cada ataque solo consigo los datos de 40 o 50 personas no les valdria la pena

Bilbokoa
3

No hay día sin ciberataque. A ver a quién le toca mañana. Esto ya, de lo habitual, ni es noticia.

Luego mandamos un e-mail pidiendo disculpas, decimos que "nos vamos a reforzar" y que pase buen día. Y ahí queda todo.

Pues vale.

🗨️ 1
PezDeRedes
1

¿Sabes cuál es el problema? Que esto ya no tiene solución. Una vez que han cogido los datos, ya da igual lo que hagas, esos datos no se los vas a quitar a los delincuentes. Y la desgracia la soportan los pobres usuarios, que ven sus emails asados a spam, reciben llamadas raras a todas horas, reciben phising personalizado, los llaman de la "compañía eléctrica" para engañarlos y se hacen pasar por confiables al conocer los datos del cliente… Ese es el problema real.

Makrod

No me preocuparía por esto nuestros datos ya los tiene todo dios, cuantas veces se los robaron al inem y hacienda? aun siguen usando windows XP jajaja

🗨️ 4
Revientazulos

Te aseguro que los sistemas de hacienda están bastante bien protegidos, al igual que los de otras instituciones, aunque no todas.

🗨️ 3
lhacc

¿Y le mandas un enlace que le da la razón?

Es ridículo decir que en inem y hacienda siguen usando xp, es falso y lo sabes.

Weikis
1
🗨️ 2
Jav9i
Aokromes
1
🗨️ 3
jpl678
2

De poco sirve escandalizarse. La dirección de tu casa estaba hasta hace poco en las páginas blancas si eras el titular y, en estos momentos, va en los paquetes de Amazon y está guardada en diferentes compañías de paquetes… junto a tu teléfono y hasta tu email.

El DNI y tu nombre pues ya se encarga de publicártelo una administración pública si aún es algo torpe en algún listado de algo. O también en cualquier paquetera que los pida.

Y el número de cuenta pues al final con algo de paciencia pues lo podrías cambiar sin problema. Sería casi lo menos preocupante (siempre que no trabajes con un banco rana al que le colaran una domicilación o algo así pero que tampoco sería un problema).

En resumen, la protección de los datos si bien debería ser PRIORIDAD ABSOLUTA, al final, de poco sirve cuando tus datos circulan por mil lugares diferentes sin control. (¿Que hace la empresa de mensajería xxx con los datos que usa para entregar el paquete o que te solicita? ¿Cuando los borra?).

El PROBLEMA realmente está en el uso que hacen de tus datos POR CULPA DE EMPRESAS QUE NO PUEDEN/SABEN/LES INTERESA VERIFICAR/PERMITEN SUPLANTAR la identidad de una persona que está contratando (generalmente a distancia) con ellas.

En resumen, el gobierno debería implementar e IMPONER algo para verificar tu identidad online (a través del dni-e o algo así) de forma que fuera más seguro tanto para las empresas como para ti el verificar tu identidad de forma clara y transparente. Y al menos se reduciría muchísimo el mal uso que le puedan dar a esos datos que se filtran.

🗨️ 1
esj

El censo electoral si que puede ser un gran robo nombres y DNI además del domicilio a efectos de estar empadronado, de todo ciudadano que cruzado con otras brechas enriquece bases de datos existentes de una forma inimaginable

esj
1

Si no has recibido el email significa que tus datos no han sido robados?

Mick Diaz
1

Y yo me pregunto, ¿qué hay de la responsabilidad civil?

Si yo sufro un ataque y roban datos confidenciales de mis clientes, que luego son usados por terceros para hacer maldades, ¿qué pasa si me demanda un cliente que da por hecho que sus datos han salido de mi?

Lo digo por pleno desconocimiento, ¿qué pasa si ahora alguien demanda a un operador por esto?

🗨️ 1
esj

Pues probablemente nada. Tendrías que demostrarlo igual que tu cliente contigo. Pero vamos que esto se nos yendo de castaño a oscuro

raleo

No me lo creo, esto ha sido como en el resto de casos una fuga de datos y no un ciberataque.

electronics

No sé para qué tanta contraseña compleja, segundo factor de autenticación, gestor de contraseñas, llave de encriptación, contraseñas temporales, etc. si luego roban directamente los datos en el otro extremo y los tienen en texto plano. Es absurdo.

Encima es algo que está totalmente fuera de tus manos.

🗨️ 4
esj

Totalmente

Aokromes

es muy raro que un servidor tenga las contraseñas en texto plano.

parte de parte de las contraseñas de mis usuarios:

y ademas, aunque 2 contraseñas sean iguales, en la base de datos aparecen de formas diferentes.

🗨️ 2
lhacc

La primera es "hunter2"

electronics

Las contraseñas no he dicho, los datos personales propiamente.

AnonyD

¿Alguien más ha recibido ese correo? Ya han pasado como 2 días y no he recibido nada… le he preguntado a un amigo si él ha recibido algo y tampoco… empiezo a pensar que es un bulo…

🗨️ 1
AnThraxII

yo tampoco he recibido el correo.

1