El secuestro de los sistemas informáticos que The Phone House sufrió en abril de 2021 ha acabado por salirle muy caro. La AEPD sanciona a la cadena de tiendas de telefonía por dos infracciones graves, por un montante total de 6,5 millones de euros.
La propia compañía siguiendo el procedimiento legal para estos casos reportó a la Protección de Datos que había sufrido un ataque del ransomware Babuk, el cual había secuestrado el contenido de sus ordenadores, cifrando los archivos y copiandolos en servidores externos. 211 clientes afectados también denunciaron la filtración de sus datos ante la agencia.
Los cibercriminales extorsionaron a la empresa pidiendo el pago de un rescate por un montante no revelado, si querían evitar la publicación de 10 bases de datos Oracle y el envío de la información a los competidores.
En total quedaron comprometidos 100GB de información personal de empleados, proveedores, clientes y exclientes. Según la resolución de la AEPD los afectados fueron un "número inmenso de personas", con un total de 13 millones registros.
La información relativa a clientes y antiguos clientes contenía información sensible como nombre, apellidos, DNI, dirección, email, móvil, nacionalidad, sexo, fecha de nacimiento, número de cuenta y los productos contratados, como seguros, dispositivos, fibra y móvil. También se incluían el código IMEI que identifica al terminal telefónico.
Pocos días después de la amenaza, el blog de Babuk publicó los ficheros en la dark web, exponiendo a los usuarios que sus datos personales sean usados para la comisión de fraude y engaños.
El informe de la AEPD1 señala tres fallos en la gestión de los datos por parte de la empresa: que estuviesen "en claro" sin anonimización y cifrado, una mala política de contraseñas con el acceso de administrador sin doble factor de autenticación y una configuración inadecuada del cortafuegos, factores que facilitaron el acceso "desde IPs situadas en países como Bulgaria y Moldavia o desde nodos TOR" con los credenciales de varios empleados. Por todo ello culpa a la empresa de negligencia.
Debe recordarse que TPHS es una gran empresa, que realiza tratamientos masivos de datos personales de sus clientes y futuros clientes, así como de los casi mil quinientos empleados, realizando además perfilados, por lo que se le exige un nivel de diligencia mayor y medidas de seguridad adecuadas a los riesgos altos derivados de su actividad. Por tanto, la ausencia de tales medidas denota una grave negligencia en su actuación en relación con el tratamiento de datos personales.
Have i been pwned? integró la filtración en su base de datos, de forma que resulta sencillo saber a través de su web si tus datos están incluidos.