41 empresas mexicanas sufrieron la
exposición de Comprobantes Fiscales Digitales por Internet (CFDI), entre los
que había información personal como CURP, tasa salarial y número de seguridad
social.
Un error de seguridad deja expuestas 5
millones de facturas con datos personales en México
Foto: Pixabay
Una base de datos con casi 5
millones de facturas electrónicas mexicanas, algunas de las cuales contenían
datos personales, fue publicada en internet y posteriormente secuestrada,
informó la consultora de ciberseguridad Security Discovery.
El reporte indica que los
Comprobantes Fiscales Digitales por Internet (CFDI) se encontraban almacenados
en una base de datos de MongoDB sin contraseña y contenían información personal
Claves Única de Registro de Población (CURP), números de seguridad social y
tasa salarial.
Entre las 41 empresas
mexicanas que sufrieron la exposición de los datos se encuentran General de
Seguros, Carl Zeiss México, Operadora de Hospitales Ángeles, ITESO AC, y Club
Gallos Blancos.
Bob Diachenko, director de
inteligencia de amenazas cibernéticas en Security Discovery, dijo que tras el
hallazgo el 22 de enero del 2019, contactaron a una de las compañías de la
lista, quien ayudó a identificar al propietario de la base de datos.
These are the companies which had
payroll invoices (4+ Million) compromised in the MongoDB leak in Mexico last
week. Owner of DB is still unknown, but data is now wiped out, with a ransom
note demanding 0.5BTC. Need your help to find out who was reponsible for making
it public. pic.twitter.com/xC81MCIFVD
— Bob Diachenko (@MayhemDayOne) 28 de
enero de 2019
Sin embargo, el investigador
señala que después de casi 48 horas de estar expuesta públicamente en internet,
la base de datos fue secuestrada. En una nota de rescate se exigía 0.5 Bitcoin
para devolver los datos, que equivale a 1,795 dólares, más de 34 mil pesos.
Aunque cuentan con registros
de las personas que pidieron dinero a cambio de la información, dice que existe
una alta probabilidad de que la información haya sido comprometida.
“El servidor en cuestión ha
sido indexado por los motores de búsqueda (por lo tanto, se puso a disposición
del público) el 27 de enero, por lo que cualquiera que lo viera abierto podría,
en teoría, conectarse a él y tener los datos, no se necesita contraseña ni
inicio de sesión”, dijo Diachenko.
La base de datos se cerró el
30 de enero luego de que, en conjunto con una de las empresas afectadas, pudieron
identificar a un supuesto propietario de la empresa.
“Ahora estamos en contacto
con INAI México y estamos listos para ayudar en la investigación en curso con
la información que tenemos”, señaló Diachenko en el blog.
(ANIMAL POLITICO/ REDACCIÓN ANIMAL POLÍTICO/ FEBRERO
11 2019 16:11)
No hay comentarios:
Publicar un comentario