Informe: Proveedor financiero y crediticio colombiano filtró información personal de clientes.
Nombre y ubicación de la empresa: Credinet. Tamaño de co/Sistecredito con sede en Colombia: aproximadamente 100 MB de datos, con un total de 143.876 registros.
Formato de almacenamiento de datos: ElasticSearch
Países afectados: Colombia El equipo de Planetresearch puede revelar una importante filtración de datos que afecta a Creditinet, una plataforma de crédito propiedad de la financiera colombiana Sistecredito.
Sistecredito ofrece opciones de financiamiento a plazos a los clientes que desean comprar productos de inmediato y pagar más tarde en varias subsidiarias en todo el país. La plataforma Credinet es utilizada por comercios minoristas que desean que sus clientes se registren en el servicio Sistecredito para financiar la compra de productos vendidos en la tienda.
Credinet/Sistecredito almacena miles de registros en una base de datos de Elasticsearch que no están cifrados ni protegidos con contraseña. El servidor contenía datos confidenciales que los piratas informáticos podrían explotar para poner a miles de personas en grave riesgo de sufrir delitos cibernéticos.
Datos de clientes filtrados Creditinet/Sistecredito almacenó varios tipos de datos en servidores Elasticsearch mal configurados que se utilizaron sin ninguna protección con contraseña. Como resultado, se filtró un total de 100 MB de datos en la plataforma Creditinet, equivalente a 143.876 registros.
Los datos de riesgo que afectan a los clientes de Creditinet/Sistecredito incluyen:
CustomerPII: Registro que contiene nombres, direcciones de correo electrónico, números de teléfono móvil y datos financieros. Tokens JWT: Aproximadamente 3000 de los registros filtrados contienen "tokens JWT" que pueden usarse para generar "tokens de acceso" para autenticarse como usuarios de Creditinet, lo que permite a los piratas informáticos obtener acceso a las cuentas de los clientes. La mayoría de los archivos filtrados que contienen tokens JWT también contienen direcciones de correo electrónico de clientes. Enlace para restablecer contraseña: Pertenece a la cuenta del cliente.
La información filtrada que afecta directamente a la plataforma Creditinet en el servidor incluye:
Credenciales de la base de datos: incluida la contraseña en texto claro de la base de datos CreditinetSQL Appsecrets: un registro que contiene varias aplicaciones relacionadas con Credinet secreto de almacenamiento de datos de la plataforma.
Credinet/Sistecredito expuso información confidencial de sus clientes que podría haberse utilizado para dañar gravemente a Credinet/Sistecredito y sus clientes. Incluido en la base de datos
El enlace para restablecer la contraseña nos permite conocer el impacto de esta infracción. Los piratas informáticos pueden utilizarlos para acceder a miles de cuentas de usuarios.
Los piratas informáticos podrían acceder a una lista de direcciones de correo electrónico de clientes contenidas en la base de datos y utilizar estos detalles (junto con enlaces de restablecimiento) para restablecer las contraseñas de las cuentas de usuario en cuestión. Por lo tanto, los piratas informáticos podrían utilizar estos enlaces para restablecer cualquiera de las más de 3.000 cuentas de usuario en la base de datos de Credinet.
La penetración de PII, enlaces de restablecimiento y tokens JWT es la estimación más baja de clientes afectados con poco más de 3000 usuarios, aunque es probable que este número sea mucho mayor.
A continuación puede ver tokens JWT filtrados, correos electrónicos, enlaces para restablecer contraseñas y otras formas de evidencia de PII.
Sin embargo, es probable que la filtración de datos de Creditinet/Sistecredito afecte directamente al propio negocio de la empresa, lo que provocará una mayor filtración de datos de clientes en el futuro. Esto se debe a que se encontraron otras dos formas de datos en el servidor. Uno de los registros contiene un "secreto de aplicación" que proporciona información más detallada sobre el almacenamiento de datos de la plataforma.
El equipo de investigación también descubrió dos contraseñas de bases de datos, que podrían haber dado a los piratas informáticos acceso y privilegios adicionales, incluido el control total de la base de datos CreditinetSQL. Por razones éticas, nuestro equipo no probó estos cifrados.
A continuación puede ver evidencia de "secretos de aplicaciones" y contraseñas de bases de datos filtrados.
Las medidas de seguridad insuficientes en la base de datos de Credinet significan que el propietario de la plataforma (Sistecredito) podría ser objeto de escrutinio por parte de la Administración Industrial y Comercial (SIC) de Colombia, que investiga casos de uso indebido de datos o medidas inadecuadas de protección de datos por parte de empresas colombianas. cualquier caso.
Si se determina que Credinet/Sistecredito tiene la intención criminal de hacer un uso indebido de los datos de los clientes, Credinet/Sistecredito violará la legislación penal colombiana, lo que hará que este caso enfrente otra serie de sanciones y penalidades. Sin embargo, según la evidencia actual, tal evento parece poco probable.
Las personas afectadas, Sistecredito y su plataforma Credinet, están ubicadas en Colombia y no se cree que la empresa tenga operaciones fuera de Colombia. El análisis del registro de Creditinet/Sistecredito confirmó que la empresa tiene su sede en Colombia, mientras que el análisis de tráfico de Alexa mostró que la empresa sólo realizaba transacciones con ciudadanos colombianos.
Quién filtró los datos Sistecredito utiliza la plataforma Credinet para realizar negocios y permite a las tiendas de toda Colombia registrar usuarios para sus servicios financieros.
Sistecredito tiene su sede en Envigado, Provincia de Antioquia, Colombia. Sistecredito es una gran empresa con aproximadamente 300 empleados y ventas anuales de 15,78 millones de dólares (USD).
El contenido de la base de datos abierta hace referencia a Creditinet/Sistecredito numerosas veces a lo largo del proceso, e incluso incluye enlaces al sitio web de Sistecredito y a la plataforma Credinet. Claramente la base de datos pertenece a Creditinet/Sistecredito.
Impacto para los clientes de Creditinet/Sistecredito Sólo Creditinet/Sistecredito puede saber si un hacker sin escrúpulos ha accedido a una base de datos, pero el tiempo que una base de datos está abierta expone a los usuarios de la plataforma a graves riesgos de cibercrimen.
Robo de identidad y fraude La información personal filtrada, como los nombres de los clientes, las direcciones de correo electrónico, los números de teléfono móvil y los datos financieros, se puede utilizar para ayudar en actividades fraudulentas en varias otras plataformas. Los ciberdelincuentes pueden utilizar estos datos para hacerse pasar por sus víctimas y cometer fraude.
Fraude, phishing y malware La información de contacto, como números de teléfono y direcciones de correo electrónico, se puede utilizar para atacar a los usuarios con fines de fraude, phishing y malware.
Los piratas informáticos pueden utilizar la información personal de los clientes, incluidos sus registros financieros, para generar confianza con los usuarios, convencerlos de que entreguen fondos, entreguen información personal adicional o hacer clic en enlaces para descargar malware en las computadoras de los clientes. .
Los hackers pueden hacerse pasar por representantes de Credinet o Sistecredito. Si un pirata informático se pone en contacto con un usuario por correo electrónico, puede intentar obligar a la víctima a hacer clic en un enlace. Este es un ataque de phishing. Una vez que la víctima hace clic en el enlace, el malware puede descargarse en la computadora del usuario, lo que ayuda al pirata informático a llevar a cabo otras actividades delictivas.
El enlace de restablecimiento de contraseña de adquisición de cuenta y el token JWT se pueden utilizar para hacerse cargo de una cuenta de cliente.
Los tokens JWT se pueden utilizar para verificar si es titular de una cuenta Creditinet. Los piratas informáticos también pueden utilizar un enlace de restablecimiento de contraseña para restablecer la contraseña de cualquier cuenta de Creditinet.
Las listas de usuarios y direcciones de correo electrónico filtradas de los servidores se pueden utilizar para atacar a las víctimas de estos ataques. Una vez que los piratas informáticos obtienen acceso a una cuenta, pueden ver PII adicional y participar en otras actividades fraudulentas.
Impacto en Creditinet/Sistecredito Creditinet y el propietario de la plataforma, Sistecredito, parecen haber sufrido muchos daños financieros y de reputación como resultado de esta infracción.
Vulneración de la privacidad de datos
La autoridad de protección de datos de Colombia, SIC, puede investigar las prácticas de datos de Creditinet/Sistecredito.
Según la Ley 1581 de Colombia, los responsables y procesadores de datos deben mantener estrictas medidas y estándares de seguridad relacionados con los datos de los clientes. Está prohibida la modificación o divulgación de los datos del cliente sin el consentimiento del cliente, ya sea intencional o no.
La SIC puede imponer multas de hasta 2.000 veces el salario mínimo legal de Colombia a los infractores que violen la Ley 1581, así como la legislación más amplia de protección de datos de Colombia.
El Código Penal colombiano considera delito grave cualquier filtración de datos si una entidad, a sabiendas, divulga datos de sus clientes sin autorización en beneficio de una persona o de un tercero.
Cualquier infracción podrá acarrear una multa equivalente a 65.438+000 a 65.438+0000 salarios mínimos legales en Colombia y una pena de prisión de 48 a 96 meses para el responsable. Sin embargo, no hay pruebas de que Creditinet/Sistecredito haya filtrado intencionadamente datos de clientes.
Además de estas tarifas, los usuarios afectados también tienen derecho a una compensación por parte de Creditinet/Sistecredito. Cualquier acción legal que busque una compensación podría tener repercusiones para las partes afectadas, resultando en un daño financiero adicional para la empresa.
Pérdida de negocio El daño a la reputación causado por un incidente de este tipo es tangible. Los clientes confían a las empresas sus datos personales, y cuando las empresas filtran esos datos, el elemento de confianza se destruye. Independientemente de si los datos se filtraron intencionalmente, se violan los derechos humanos de la víctima. Credinet/Sistecredito pone en riesgo a los clientes y tiene un impacto negativo en la imagen de marca.
La publicidad negativa puede hacer que algunos consumidores eviten usar Creditinet y Sistecredito en el futuro, mientras que los clientes existentes pueden terminar su relación con la empresa si se sienten inseguros o tienen preocupaciones sobre la seguridad de sus datos.
Espionaje comercial Creditinet/Sistecredito se enfrenta a graves riesgos de espionaje comercial porque su servidor abierto Elasticsearch contiene una gran cantidad de datos de clientes.
Las empresas competidoras pueden ofrecer descuentos en listas de clientes en la base de datos de Creditinet e incluso adaptar sus métodos en función de otras formas de PII. Esto podría resultar en que la plataforma Creditinet y los servicios financieros de Sistecredito pierdan negocios a medida que los usuarios migren a la competencia.
Otros competidores pueden incluso fingir