BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

🗞️

Filtrados los datos personales de algunos clientes de Orange

nimbar
11
Hack Orange

Orange ha comunicado que uno de sus proveedores ha sido víctima de un incidente de seguridad, dando lugar a un acceso no autorizado a sus sistemas. Esto ha provocado que información sensible (nombre, apellidos, dirección postal, teléfono, correo electrónico, DNI, fecha de nacimiento, nacionalidad y el código IBAN de la cuenta corriente) de algunos de sus clientes haya quedado expuesta.

Los usuarios afectados están recibiendo un email para comunicarles qué datos se han visto comprometidos en cada caso.

Información importante de seguridad

Te informamos que uno de nuestros proveedores ha sido objeto de un incidente de seguridad y, por ello, ha quedado expuesta parte de la información sensible a la que tenía acceso para llevar a cabo la actividad de gestión de clientes para la que fue contratado.

Desde el momento en que el proveedor tuvo conocimiento del incidente, se puso en marcha un plan para limitar su alcance, procediéndose de inmediato al corte del acceso a nuestros sistemas. Sin embargo, parte de tu información personal pudo quedar afectada: nombre, apellidos, dirección postal, teléfono, correo electrónico, nº de Documento de Identidad, fecha de nacimiento, nacionalidad y el código IBAN de tu cuenta corriente.

Estos hechos los hemos notificado a la Agencia Española Protección de Datos, así como a la Brigada central de Investigación Tecnológica (BCIT) de la Policía Nacional, a través de la presentación de la correspondiente denuncia.

Te recomendamos que tengas especial precaución con correos electrónicos, mensajes o llamadas que no cuenten con una identificación clara del remitente, especialmente si solicitan información reservada como tarjetas de crédito o claves de acceso.

Ponte inmediatamente en contacto con tu banco en el caso de detectar cualquier actividad sospechosa y denuncia este hecho a la policía o consulta al INCIBE (Instituto Nacional de Ciberseguridad) en el 017 o en el siguiente enlace: incibe.es/linea-de-ayuda-en-ciberseguridad

Si deseas más información, puedes consultarla en: blog.orange.es/wp-content/uploads/sites/…/octubre.pdf

En Orange condenamos este tipo de actividad criminal, siendo la seguridad en la información uno de nuestros firmes compromisos. Por eso, lamentamos lo sucedido y ponemos a tu disposición el número de teléfono gratuito 900901564 de 9h a 21h de lunes a domingo, para solventar cualquier duda que pueda surgirte sobre este incidente. Igualmente, desde la Oficina del Delegado de Protección de Datos de Orange, atenderemos las consultas que nos envíes por email a

Si eres cliente de Orange mucha atención es los próximos días o semanas a emails o llamadas de las que no puedas asegurar su procedencia y estén relacionadas con el caso.

Fuente: osi.es/es/actualidad/avisos/2022/11/inci…es-de-orange

vukits
1

uno de sus proveedores

vamos, alguna subcontrata de subcontrata…

por lo menos Orange es transparente a tal efecto. Lo único positivo que le veo al tema.

🗨️ 2
Pezon
1

Demasiado transparente, ese es el problema.

Pretur
2

Porque la AEPD obliga a informar de todos los incidentes de seguridad que afecten a datos personales, si no no dicen ni mu.

pepejil
2

¿Y qué hace las subcontratas manejando datos de clientes de Orange?

🗨️ 5
Metro Copito

Pues trabajar, qué si no. Las subcontrataciones están en todos los niveles de las diferentes industrias. Tema aparte es las fullerías que se hacen de por medio para trincar pasta.

🗨️ 2
pepejil

Se da por hecho que son para trabajar. Ahora bien, la cesión de datos es otra historia.

🗨️ 1
Metro Copito

Como dice el compañero vukits en la pole; y lo que no nos enteramos… Cuando avisan es porque probablemente no pueden escurrir el bulto.

EmuAGR
2

Un callcenter mismo con acceso a la base de datos de Orange para gestionar productos. Les meten un virus y dumpean la base de datos de Orange (haciendo peticiones a la API y sacando los datos poco a poco para que no se note).

pjpm05731r0
6

Que bien, como si esa filtración no fuese de datos que se usan para verificar la identidad en operaciones telemáticas.

Yo directamente cambiaría de banco a toda leche y quitaría Orange como proveedor. Con esa info se pueden hacer contrataciones o actuar en nombre del titular sin problemas.

Edit: no me refiero solo con Orange. Toda esa información se puede usar para suplantar a un cliente de un banco, otra operadora… Y si se tienen las fechas del DNI, con ingeniería social hasta se podría acceder a Cl@ve!

Imaginaos, me hago pasar por teleoperador de un banco y, sabiendo esto, puedo hacerte confiar en mí porque una de las cosas que insistimos mucho en ciberseguridad es que los que te timan saben tu nombre y poco más. Te podría decir "es usted fulanito? Indíqueme su fecha de nacimiento y los últimos 4 dígitos de su cuenta para verificar su identidad, por favor". Y sabrían cuando es falsa esa info. Entendéis el peligro que es esto ahora?

Y mi pregunta es: tendrá consecuencias para Orange esto? O se lavaran las manos?

🗨️ 14
Metro Copito

Por este y otros motivos siempre se recomiendan cambios periódicos de contraseñas. Y por supuesto no usar la misma para todo, que hay quienes lo hacen.

🗨️ 2
Jomainbe
4

Entiendo que lo que han robado no son los nombres de usuario y contraseñas, se han colado en la base de datos donde se almacenan los datos personales de los usuarios. Así que poco o nada importa que hayas cambiado de contraseña todos los días.

Bart11
1

Pero lo que se usa para hacer contrataciones telemáticas son el nombre y apellidos, DNI e IBAN. Exceptuando el IBAN, lo demás no se puede cambiar. Y cambiar de banco es una cosa bastante complicada a partir de cierta edad (por la acumulación de ahorros y productos contratados).

PezDeRedes
3

Y mi pregunta es: tendrá consecuencias para Orange esto? O se lavaran las manos?

La AEPD les debería meter un paquete que no lo vean ni venir. Los datos que se han filtrado son MUY graves, no son emails y poco más, no, son hasta cuentas del banco.

🗨️ 3
Jav9i

Meteles una multa de 500 millones, veras como todas se toman en serio esto de la proteccion de datos

🗨️ 2
PezDeRedes

¿500 millones? Con la gravedad de estos hechos yo los inhabilitaba para operar en España durante 6 meses, ibas a ver como se ponían todos (no solo los Orange) las pilas.

🗨️ 1
Jav9i
1
Pezon

No envía Orange código verificación al móvil?

🗨️ 3
Jav9i

Lo mandan a la linea desde la que llamas, sea o no de Orange y / o asociada al contrato. Básicamente se aseguran de que puedes recibir un SMS y leerlo, pero no añade más seguridad am proceso general

🗨️ 1
Pezon

Siempre me mandan SMS a línea asociada al contrato. Cuando les llamo desde un número que no tengo en el contrato no puedo hacer nada.

megadark
1

Orange si envia un mensaje, debe ser esta linea como tal, asi saben si es la persona o no, y si no eres de Orange no te envian nada y ahi te pillan

License2Harm
1

Con esa info se pueden hacer contrataciones o actuar en nombre del titular sin problemas.

Ese es el problema real. Que en el siglo XXI se siga verificando la identidad de una persona casi como en la Edad Media, que andemos haciendo fotocopias de chips criptográficos,…

🗨️ 1
PezDeRedes

La verdad es que no tiene ningún sentido. Poder hacer casi cualquier cosa por teléfono, diciendo que eres X persona y sin que nadie lo compruebe de verdad, es un peligro.

electronics

Es que otro de los datos necesarios para darse de alta en Amena/Orange era mandar una foto del DNI, tanto anverso como reverso, con su app. Yo no sé si ese escaneo del DNI lo guardan o sólo lo usan para extraer los datos automáticamente y luego la eliminan. Como guarden esa foto, y sea parte de lo hackeado, sí que es una putada.

Esto puede ser mucho más grave, de lo grave que ya parece.

Sr Kenobi

Como medida de precaución, lo primero es cambiar de nº de cuenta, cerrar la actual borro y cuenta nueva. Lo 2º interponer una denuncia contra Orange por no proteger con candado esos datos tan sensibles y 3º, cambiar de operador, por muy transparentes que hayan sido. Y la multa que les puede caer puede ser de órdago.

DesdeGranada
2

¿Afecta a Jazztel?

pegaca0
1

Sinceramente, a falta de conocer número de afectados, me parece un fallo de seguridad de un nivel muy grave. Les va a caer un puro de la leche.

apocalypse
-1

Como me alegro de no tener nada de contrato con Orange desde años.

skizoy
1

Esto es de lo peorcito que he leído. ¿IBAN? ¿Pero que tipo de seguridad tienen? ¿Como es posible que una subcontracta tenga acceso al DNI y al IBAN? A los clientes afectados, yo espero que se pongan en contacto y que demanden a Orange por una burrada. Les han puesto la alfombra blanca a los hackers para que puedan hacer bien facilmente las suplantaciones de identidad que quieran.

lhacc
1

Multa importante a Orange, INDEMNIZACIÓN a los clientes afectados, responsabilidad penal para los gerifaltes que transfirieron los datos y responsabilidad civil para los hinjenieros que no los aseguraron bien.

🗨️ 2
Metro Copito
1

Y azotes en los culetes, ya metidos en faena.

Jav9i

Pon que tienes que pagar 10.000€ a cada cliente, varios millones por tener una brecha de seguridad de tal importancia, todos los clientes afectados tienen una perdida de permanencia y se les notifica directamente el motivo, y por último mete a los jefes entre rejas un par de años por no haber puesto los suficientes recursos, magicamente al dia siguiente las inversiones en ciberseguridad se multiplican en todas las compañias.

Papalukas77
1

No dicen que proveedor es?

Porque si uno esta afectado puede denunciar directamente a ese proveedor y a Orange conjuntamente.

según he leído en otro lado Orange esta comunicando por SMS y email a los afectados

Eberxy

A mi siendo cliente de Orange, no me ha llegado nada. Entiendo que a los que le ha llegado es a los clientes afectados no?

🗨️ 1
fervazco
1

Efectivamente, solamente los usuarios afectados reciben la notificación.

H2o9284

Solo tengo con Orange la fibra y no he recibido ninguna comunicación via email ni al movil.Respecto a la fotocopia del DNI aunque me han insistido no se la he enviado.Siempre que puedo procuro no enviar fotocopias del DNI.Lo que si seria preocupante es que alguno de esos clientes recibiesen cargos indebidos en su cuenta bancaria o los datos de su DNI fuesen usados para algun tipo de transacción comercial, como créditos, etc.Ya todos nos imaginamos que pueden hacer con esos datos.En ese caso deberian exigirse via legal responsabilidades al operador directamente y que el derive a quien quiera.Segun tengo entendido la custodia de los datos personales de los clientes es responsabilidad suya

🗨️ 1
vukits

iempre que puedo procuro no enviar fotocopias del DNI.

o fotocopia de DNI con marca de agua bien visible poniendo la fecha y la finalidad

Papalukas77

Cuando dicen unos de sus proveedores a que se refieren?

a subcontratas?

🗨️ 3
Jav9i

Basicamente

🗨️ 2
Papalukas77

subcontratas de instalaciones o comerciales

🗨️ 1
Jav9i
1

Podria ser cualqueiera de las 2, no tenemos suficiente información, pero teniendo en cuenta todos los datos que tienen, seguramente sea algun call center subcontratado

Jav9i

Si no se han pegado una inventada de cine, por qué el alcance entonces es mucho más reducido de lo que parecía al principio y mucho más fácil saber si eres afectado o no

🗨️ 2
License2Harm

Pensé lo mismo que tú, aunque en este caso encaja todo muy bien con el hecho de que haya sido una empresa colaboradora y que esta tuviese tantos datos de los clientes. 100% seguros nunca podremos estar.

🗨️ 1
Jav9i

Es que era eso o el departamento comercial que se encarga de las altas para tener el iban de las cuentas. O los cobros están externalizados. No se me ocurre ningún caso razonable más en el que tengan el IBAN de la cuenta

Nair Ortiz
-1

Si a mi me an mandado el email es que estado espuesto? Gracias

Nair Ortiz
-1

Precisamente yo debia ua factura que la

E pagado hoy …como se si e sido uno de esos afectados?

Nair Ortiz
-1

Efectivamente me an mandado un email diciendo que solo lo recibiremos los afectados,como puedo poner la denuncia correspondiente? Con dicha indemnización?

🗨️ 1
davidolid

Les debes dinero y todavía tienes el cuajo de reclamarles una indemnización?

No te preocupes, no creo que tu número de cuenta les sirva de mucho.

Nair Ortiz

Les debo una factura por error del banco que la devolvieron no fue culpa mía y que tiene que ver eso?

🗨️ 1
davidolid

Por una factura devuelta «por error» no pasan tus datos a ninguna empresa de recobro. Eso se hace cuando la deuda tiene ya cierto tiempo y no ha sido abonada. Que trabajo de esto, seamos serios.

Nair Ortiz

Y por que tengo el email???

🗨️ 1
Jav9i

De alguna u otra forma has acabado ahí, seguramente metan a todo el que deba un centimo ahí de manera preventiva pero hasta cumplir ciertos requisitos (tiempo y/o cantidad) no empiezen a dar la brasa. Tambien existe la posibilidad de que entres ahí y no salgas, por una factura no te van a meter en la lista de morosos ni a denunciar, pero si es algo que pasa habitualmente igual si que toman medidas.

Tus datos existe la posibilidad de que se hayan filtrado, pero el hecho de estar en esa lista no deberia preocuparte

Nair Ortiz

Gracias