Los piratas informáticos violaron un sitio web que permite a las personas comprar y vender armas, exponiendo las identidades de sus usuarios, según pudo saber TechCrunch.
La violación expuso montones de datos personales confidenciales de más de 550.000 usuarios, incluidos los nombres completos de los clientes, domicilios particulares, direcciones de correo electrónico, contraseñas de texto sin formato y números de teléfono. Además, los datos robados supuestamente permiten vincular a una persona en particular con la venta o compra de un arma específica.
«Con estos datos, puede tomar una lista pública… y resolverla de nuevo al [data in the stolen database] para que tenga el nombre, correo electrónico y dirección física y número de teléfono de [the seller] y, presumiblemente, la ubicación del arma”, dijo a TechCrunch Troy Hunt, un experto en seguridad cibernética que dirige el popular servicio de alerta y depósito de violaciones de datos Have I BeenPwned. (El investigador que encontró la infracción compartió los datos con Hunt para que pueda subirlos a Have I BeenPwned).
A fines del año pasado, un investigador de seguridad, que pidió permanecer en el anonimato, descubrió un servidor que contenía los datos, que resultó ser utilizado por un pirata informático (o un grupo de piratas informáticos) que estaba usando el servidor para almacenar los datos robados. El servidor no estaba protegido por ningún sistema para limitar o controlar quién podía acceder a él, por lo que el investigador descargó los datos y los analizó.
Lo que encontró fueron datos tomados del sitio web GunAuction.com, un sitio que desde 1998 permite a las personas subastar armas en línea.
Una captura de pantalla de GunAuction.com
TechCrunch analizó una muestra de los datos robados y se comunicó con 100 personas por correo electrónico y 60 por teléfono. De ellos, 10 personas confirmaron que los datos contenidos en la base de datos robada eran precisos. Sin embargo, no está claro qué tan recientes son los datos, dado que para 25 direcciones de correo electrónico, nuestro mensaje rebotó o no se pudo entregar, y varios números de teléfono también se desconectaron.
El CEO de GunAuction.com, Manny DelaCruz, confirmó la violación en un correo electrónico.
“Puedo confirmar que el FBI nos contactó recientemente con respecto a la posibilidad de una violación de datos que ha afectado a nuestra empresa”, escribió DelaCruz en el comunicado. “La violación probablemente expuso información personal de los clientes, como nombres, direcciones y direcciones de correo electrónico. Sin embargo, queremos asegurarles a nuestros clientes que no tenemos motivos para creer que se accedió a información financiera durante la filtración. Recomendamos a nuestros clientes que permanezcan atentos y controlen sus cuentas financieras e informes crediticios en busca de cualquier actividad sospechosa”.
DelaCruz agregó que “nuestra intención es informar muy pronto a los usuarios afectados”.
Esta no es la primera vez que se exponen datos confidenciales sobre propietarios de armas. El año pasado, el Departamento de Justicia de California filtró por error datos personales, “incluidos los nombres de los dueños de armas, cumpleaños, direcciones, edades, la fecha de compra y el tipo de permiso de armas de fuego que poseían, y sus números del Índice de identificación criminal, que se usan para rastrear estados y antecedentes penales federales”, según Gizmodo.
¿Tienes más información sobre este incumplimiento? ¿O infracciones similares? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a [email protected]. También puede comunicarse con TechCrunch a través de SecureDrop.