Brecha de datos afecta a todos los clientes de importante compañía de renta de autos

Los directivos de CityBee, una compañía de uso compartido de autos que opera en Lituania, reconocieron un incidente de seguridad que derivó en la brecha de datos personales de sus clientes, incluyendo sus credenciales de inicio de sesión; la información comprometida se encuentra disponible en un foro ilegal de dark web. Esta es una compañía ampliamente reconocida en territorio lituano, rentando automóviles, patines, bicicletas e incluso camiones de carga.

El presunto hacker detrás de este incidente afirma que una de las copias de seguridad del sitio web de la compañía estaba expuesto en Internet sin la más mínima medida de seguridad, por lo que cualquier usuario podría haber accedido a esta información; la base de datos contiene más de 110 mil registros con datos personales como:

  • Nombres completos
  • Códigos de usuario
  • Números telefónicos
  • Domicilios
  • Direcciones email
  • Detalles de licencia de conducir
  • Contraseñas cifradas

Una muestra de información compartida por este individuo en dark web muestra solamente algunas direcciones email, contraseñas protegidas con hashing y los nombres de algunos usuarios afectados, por lo que se entiende que el resto de la información comprometida se encuentra a la venta.

Posteriormente el hacker mencionó que ignoraba que CityBee fuera una compañía tan grande, aunque también menciona que sus medidas de seguridad eran realmente deficientes considerando los volúmenes de información confidencial que recolectan de sus clientes: “La poca seguridad en CityBee es alarmante; he visto cómo se extrae información de otras empresas debido a estos errores y las compañías ni siquiera se han enterado de esta situación. Al hacer una búsqueda rápida de algunos registros CNAME encontramos información realmente atractiva y probablemente encontremos más.”

Poco después de la publicación de algunos reportes la compañía reconoció el incidente a través de un comunicado en su página oficial de Facebook. Horas después CityBee publicó una actualización en la que mencionaban que esta base de datos estaba desactualizada, pues solamente contenía información de usuarios registrados antes de febrero de 2018.   

Por otra parte, la compañía menciona que los detalles financieros de sus clientes están completamente a salvo, ya que la compañía no almacena estos registros. Aún así, se recomendó a los usuarios activos de la plataforma restablecer sus contraseñas como medida de seguridad adicional, previniendo ataques de diccionario y de relleno de credenciales. Habilitar la función de autenticación multifactor disponible en CityBee también es recomendable. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Brecha de datos afecta a todos los clientes de importante compañía de renta de autos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.