BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

The Phone House se enfrenta a una multa de 6,5 millones por el secuestro y filtración de los datos de 13 millones de clientes

Joshua Llorach
Ramsomware en The Phone House

El secuestro de los sistemas informáticos que The Phone House sufrió en abril de 2021 ha acabado por salirle muy caro. La AEPD sanciona a la cadena de tiendas de telefonía por dos infracciones graves, por un montante total de 6,5 millones de euros.

La propia compañía siguiendo el procedimiento legal para estos casos reportó a la Protección de Datos que había sufrido un ataque del ransomware Babuk, el cual había secuestrado el contenido de sus ordenadores, cifrando los archivos y copiandolos en servidores externos. 211 clientes afectados también denunciaron la filtración de sus datos ante la agencia.

Los cibercriminales extorsionaron a la empresa pidiendo el pago de un rescate por un montante no revelado, si querían evitar la publicación de 10 bases de datos Oracle y el envío de la información a los competidores.

En total quedaron comprometidos 100GB de información personal de empleados, proveedores, clientes y exclientes. Según la resolución de la AEPD los afectados fueron un "número inmenso de personas", con un total de 13 millones registros.

La información relativa a clientes y antiguos clientes contenía información sensible como nombre, apellidos, DNI, dirección, email, móvil, nacionalidad, sexo, fecha de nacimiento, número de cuenta y los productos contratados, como seguros, dispositivos, fibra y móvil. También se incluían el código IMEI que identifica al terminal telefónico.

Pocos días después de la amenaza, el blog de Babuk publicó los ficheros en la dark web, exponiendo a los usuarios que sus datos personales sean usados para la comisión de fraude y engaños.

Contenido filtración Phone House
Ficheros de The Phone House publicados en la web oscura

El informe de la AEPD1 señala tres fallos en la gestión de los datos por parte de la empresa: que estuviesen "en claro" sin anonimización y cifrado, una mala política de contraseñas con el acceso de administrador sin doble factor de autenticación y una configuración inadecuada del cortafuegos, factores que facilitaron el acceso "desde IPs situadas en países como Bulgaria y Moldavia o desde nodos TOR" con los credenciales de varios empleados. Por todo ello culpa a la empresa de negligencia.

Debe recordarse que TPHS es una gran empresa, que realiza tratamientos masivos de datos personales de sus clientes y futuros clientes, así como de los casi mil quinientos empleados, realizando además perfilados, por lo que se le exige un nivel de diligencia mayor y medidas de seguridad adecuadas a los riesgos altos derivados de su actividad. Por tanto, la ausencia de tales medidas denota una grave negligencia en su actuación en relación con el tratamiento de datos personales.

Have i been pwned? integró la filtración en su base de datos, de forma que resulta sencillo saber a través de su web si tus datos están incluidos.

  1. Informe de la AEPD

Actualizado