El año pasado recopilamos una lista de las filtraciones de datos peor manejadas en 2022, que analiza el mal comportamiento de los gigantes corporativos cuando se enfrentan a ataques y filtraciones. Eso incluía de todo, desde restar importancia al impacto en el mundo real de la filtración de información personal hasta no responder preguntas básicas.
Resulta que este año muchas organizaciones siguen cometiendo los mismos errores. Aquí tenéis el dossier de este año sobre cómo no responder ante incidentes de seguridad.
La Comisión Electoral ocultó los detalles de un gran hackeo durante un año, pero aún guarda silencio
La Comisión Electoral, el organismo de control responsable de supervisar las elecciones en el Reino Unido, confirmó en agosto que había sido atacado por “actores hostiles” que accedieron a los datos personales, incluidos nombres completos, direcciones de correo electrónico, domicilios particulares, números de teléfono e imágenes personales. enviada a la Comisión, sobre unos 40 millones de votantes del Reino Unido.
Si bien puede parecer que la Comisión Electoral fue sincera sobre el ciberataque y su impacto, el incidente ocurrió en agosto de 2021, hace unos dos años, cuando los piratas informáticos obtuvieron acceso por primera vez a los sistemas de la Comisión. La Comisión tardó otro año en atrapar a los piratas informáticos con las manos en la masa. La BBC informó el mes siguiente que el organismo de control no había pasado una prueba básica de ciberseguridad casi al mismo tiempo que los piratas informáticos ingresaron a la organización. Aún no se ha revelado quién llevó a cabo la intrusión (o si se sabe) y cómo se violó la Comisión.
Samsung no dirá cuántos clientes afectados por una violación de datos de un año de duración
Samsung ha vuelto a aparecer en nuestra lista de infracciones mal gestionadas. El gigante de la electrónica volvió a adoptar su típico enfoque reservado cuando se enfrentó a preguntas sobre una violación de sus sistemas que duró un año y que dio a los piratas informáticos acceso a los datos personales de sus clientes con sede en el Reino Unido. En una carta enviada a los clientes afectados en marzo, Samsung admitió que los atacantes explotaron una vulnerabilidad en una aplicación comercial de terceros no identificada para acceder a información personal no especificada de los clientes que realizaron compras en su tienda del Reino Unido entre julio de 2019 y junio de 2020.
En la carta, Samsung admitió que no descubrió el compromiso hasta más de tres años después, en noviembre de 2023. Cuando TechCrunch le preguntó, el gigante tecnológico se negó a responder más preguntas sobre el incidente, como cuántos clientes se vieron afectados o cómo. Los piratas informáticos pudieron obtener acceso a sus sistemas internos.
Los piratas informáticos robaron datos de Shadow y Shadow se quedó en silencio
El proveedor francés de juegos en la nube Shadow es una empresa que hace honor a su nombre, ya que una brecha en la empresa en octubre sigue siendo un misterio. En la infracción, los atacantes llevaron a cabo un «ataque de ingeniería social avanzada» contra uno de los empleados de Shadow que permitió el acceso a los datos privados de los clientes, según un correo electrónico enviado a los clientes de Shadow afectados.
Sin embargo, se desconoce el impacto total del incidente. TechCrunch obtuvo una muestra de datos que se cree que fueron robados de la empresa que contenía 10.000 registros únicos, que incluían claves API privadas que corresponden a cuentas de clientes. Cuando TechCrunch le preguntó, la compañía se negó a hacer comentarios y no dijo si había informado al regulador de protección de datos de Francia, CNIL, sobre la violación como lo exige la ley europea. La compañía tampoco hizo pública la noticia de la infracción fuera de los correos electrónicos enviados a los clientes afectados.
Lyca Mobile se negó a decir qué tipo de ciberataque sufrió
Lyca Mobile, el operador de red virtual móvil con sede en el Reino Unido, dijo en octubre que había sido blanco de un ciberataque que causó perturbaciones generalizadas a millones de sus clientes. Lyca Mobile admitió más tarde una violación de datos, en la que atacantes anónimos habían accedido a «al menos parte de la información personal almacenada en nuestro sistema» durante el ataque.
Han pasado más de dos meses y Lyca Mobile aún no ha dicho qué datos fueron robados de sus sistemas (a pesar de almacenar información personal confidencial, como copias de documentos de identidad y datos financieros), o cuántos de sus 16 millones de clientes se vieron afectados. por el incumplimiento. A pesar de las repetidas solicitudes de TechCrunch, la compañía también se negó a comentar sobre la naturaleza del incidente, a pesar de que se presentó como ransomware.
MGM Resorts aún no ha dicho a cuántos clientes les robaron datos después del hackeo
El incumplimiento de MGM Resorts es uno de los más recordados del 2022; En el incidente, piratas informáticos asociados con una pandilla conocida como Scattered Spider comprometieron los sistemas de la compañía y causaron semanas de interrupciones en los hoteles y casinos de MGM en Las Vegas. MGM dijo que la interrupción le costará a la compañía al menos 100 millones de dólares.
MGM reveló por primera vez que había sido atacado por piratas informáticos el 11 de septiembre. Pero no fue hasta octubre que la compañía confirmó en una presentación regulatoria que los atacantes habían obtenido información personal perteneciente a clientes que realizaron transacciones con MGM Resorts antes de marzo de 2019. Eso incluye nombres de clientes, información de contacto, sexo, fechas de nacimiento, números de licencia de conducir, números de Seguro Social y escaneos de pasaportes de algunos clientes.
Han pasado más de tres meses y todavía no sabemos cuántos clientes de MGM se vieron afectados. Los portavoces de MGM se han negado repetidamente a responder las preguntas de TechCrunch sobre el incidente.
La rotura del plato puede afectar a millones, potencialmente a muchos más
En febrero, el gigante de la televisión por satélite Dish confirmó en una presentación pública que un ataque de ransomware era el culpable de una interrupción en curso y advirtió que los piratas informáticos extrajeron datos de sus sistemas que pueden haber incluido información personal de los clientes. Sin embargo, Dish no ha proporcionado una actualización sustancial desde entonces y los clientes aún no saben si su información personal está en riesgo.
TechCrunch se enteró de que, a pesar del silencio de la empresa, el impacto de la infracción podría extenderse mucho más allá de los aproximadamente 10 millones de clientes de Dish. Un ex minorista de Dish le dijo a TechCrunch que Dish conserva una gran cantidad de información de los clientes en sus servidores, incluidos nombres de clientes, fechas de nacimiento, direcciones de correo electrónico, números de teléfono, números de Seguro Social e información de tarjetas de crédito. La persona dijo que esta información se conserva indefinidamente, incluso para clientes potenciales que no pasaron la verificación de crédito inicial de Dish.
CommScope tarde en informar a sus propios empleados que sus datos fueron robados
TechCrunch escuchó a los empleados de CommScope que dijeron que no sabían nada sobre una violación de datos en la empresa que afectaba su información personal. La empresa con sede en Carolina del Norte, que diseña y fabrica productos de infraestructura de red para una variedad de clientes, fue atacada por la banda de ransomware Vice Society en abril. Los datos filtrados por la pandilla y revisados por TechCrunch incluían datos personales de miles de empleados de CommScope, incluidos nombres completos, direcciones postales, direcciones de correo electrónico, números personales, números de Seguro Social, escaneos de pasaportes e información de cuentas bancarias.
CommScope se negó a responder nuestras preguntas relacionadas con los datos de los empleados filtrados y tampoco respondió a los afectados. Varios empleados le dijeron a TechCrunch en ese momento que los ejecutivos de CommScope permanecieron callados sobre la violación y dijeron poco más allá de que «no tiene evidencia» que sugiera que los datos de los empleados estuvieran involucrados.