El equipo de investigación del sitio especializado SafetyDetectives reveló una fuga de datos de la cadena de cines Cineplanet. La brecha de seguridad revela aproximadamente 14 millones de registros de inicio de sesión y más de 205 millones de registros de datos de los clientes de la empresa.
Los investigadores, liderados por el especialista Anurag Sen, descubrieron que no se había tomado las medidas de seguridad necesarias para proteger la base de datos de los clientes que acudieron al cine durante el mes de diciembre del 2019. La fuga se cerró el 24 de enero de 2020, según el reporte.
@cineplanet cómo compensas lo sucedido? Nuestras tarjetas expuestas! @IndecopiOficial ¿?
— Diego (@tapsporsiempre) January 27, 2020
La información vulnerable incluye la identificación del usuario, su número de DNI, correo, teléfono, dirección, estado civil, así como contraseñas sin cifrar.
También se pudo detectar saldo de puntos de fidelización de los clientes, y datos bancarios como el número de los primeros cuatro y últimos cuatro dígitos de la tarjeta de crédito, la fecha de vencimiento y el código de referencia bancaria.
¿Qué se está filtrando?
Los datos técnicos recuperados ofrecen la dirección IP, navegador, dispositivo y registros de sesión del usuario.
“Los números de tarjetas de crédito parciales (primeros y últimos cuatro dígitos) pueden conducir al robo de identidad y al fraude al proporcionar la información necesaria para el restablecimiento de contraseñas”, revela el informe de SafetyDetectives.
Luego se agrega: “Esta fuga de datos también representa una amenaza física real para los cinéfilos. Con los nombres y domicilios a la mano, los delincuentes pueden acechar o atacar a posibles víctimas”.
De acuerdo con el reporte, no se pudo identificar si la base de datos cayó a manos de cibercriminales que pudieran concretar fraudes informáticos.
Investigación en curso
Por su parte, la cadena de cines peruana Cineplanet informó en Twitter que se realiza la investigación interna sobre lo ocurrido. «(El jueves 23 de enero) se tomaron las acciones correctivas. Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información», señaló la empresa.
Por la noche, Cineplanet aseguró que «esta alerta no supone una fuga ni descarga de información». También afirmó que este hecho se realizó sobre la base de datos de un grupo de transacciones que era analizada como parte de un período de pruebas y que implicaba al 3.6% de los clientes registrados.
«En breve nos estaremos contactando con estos clientes para informarles con detalles sobre algunas medidas de seguridad adicionales que implementaremos a fin de evitar situaciones similares. Es importante mencionar que, de acuerdo con nuestros protocolos de seguridad informática, los datos financieros de nuestros clientes son almacenados encriptados, por lo que no son accesibles ni para personal de Cineplanet ni por terceros, en ninguna circunstancia. Nuestros protocolos de seguridad tienen como fin, siempre, garantizar la protección de los datos de nuestros clientes», agregó.
En ese sentido, Cecilia Pastorino, Security Researcher de Eset Latinoamérica, estimó que la información de la base de datos no estuvo cifrada.
Además, destacó que las malas prácticas más frecuentes son configuraciones incorrectas, errores de usuarios, sistemas de testing con datos reales, y falta de seguridad para las bases de datos.
La especialista recomendó que las empresas cuenten con un sistema de auditoría de seguridad, así como usar contraseñas fuertes y cifrar la información que sea sensible.
En cuanto a las posibles víctimas, Pastorino recomendó que se cambie la contraseña de las cuentas registradas en el perfil de cliente del cine. Se trata de claves con al menos caracteres simbólicos, números y letras en minúsculas y mayúsculas.
La División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía registró 3,012 denuncias de fraudes electrónicos, pornografía infantil, suplantación de identidad y otros delitos informáticos durante el 2019.
La mayor cantidad de denuncias se concentra en el delito contra el patrimonio. Los fraudes informáticos y sus subtipos alcanzaron 2,097 casos durante el 2019. Esta cifra se elevó en más de 8% con respecto al 2018, que cerró con 1928 casos.
Fuente: Andina