El investigador en seguridad Jeremiah Fowler en conjunto con el equipo de investigación de WebsitePlanet han descubierto recientemente una base de datos desprotegida (sin contraseña) que contenía los nombres e información personal de cientos de miles de Argentinos. Casi un millón de registros estaban expuestos públicamente a cualquier persona con conexión a Internet. Una carpeta llamada “Cliente” contenía 605.000 registros y otra llamada “cuenta crédito” tenía 280.000 registros. Esta es una de las filtraciones de datos de clientes mas grandes que hemos visto en mucho tiempo. La cual contiene, nombres y números de identificación, en texto simple, sin ningún tipo de encriptado.
Investigando más a fondo, resultó que los registros pertenecían a Hendel Hogar (hendel.com), una gran cadena tiendas que vende productos para el hogar en toda la provincia de Buenos Aires, Argentina. Según su sitio web, la empresa tiene 31 sucursales y comercializa electrodomésticos, computadoras, artículos para el hogar, herramientas, juguetes, piscinas, artículos de camping, cobertores y mucho más. De inmediato enviamos un aviso de divulgación responsable a la empresa y el acceso público se cerró ese mismo día. No se sabe con certeza cuánto tiempo estuvo expuesta la base de datos o quién más pudo haber accedido a ella.
Según su página de Facebook, “Hace más de 50 años que nuestros clientes confían en nosotros para acceder a aquellos productos que necesitan, y lo facilitamos otorgando un Crédito Personal propio a través de la Tarjeta Hendel.”Qué contenía la base de datos:
Total de registros expuestos: 918.395 (que parecían ser únicos)
Los registros internos de Hendel incluían nombres de los clientes, documento nacional de identidad (DNI), y datos financieros.
725 registros identificados como “Cliente” que contenían lo que parecen ser los datos personales de los clientes, tales como nombre completo y número de documento.
Más de 283.000 registros etiquetados como “cuenta crédito”.
Si piratas informáticos malintencionados hubieran encontrado el servidor, los clientes expuestos podrían ser objeto de estafas a través de métodos de ingeniería social o robo de identidad.
Los archivos también muestran dónde se almacenan los datos y cómo funciona la red de inicio de sesión desde el “backend” o parte de desarrollo.
Se corría el riesgo de que la base de datos fuese el objetivo de un ataque de ransomware o de que fuese robada por ciberdelincuentes.
Vista general de las carpetas de almacenamiento que contenían los datos de los clientes y datos de crédito.
Según Wikipedia: El DNI o “Documento Nacional de Identidad” es el documento más importante para los ciudadanos Argentinos, así como para los extranjeros con residencia temporaria o permanente (DNI Extranjero). El DNI es necesario para votar, pagar, inscribirse en el servicio militar y otros trámites. El DNI también se puede cotejar para detectar infracciones de tráfico y otras infracciones civiles a través de una página web gubernamental. En este contexto, el DNI se habría utilizado probablemente para identificar a clientes individuales y el crédito que les concedería Hendel. Los registros que vimos contenían sólo el número y no escaneos o imágenes completas del documento o del individuo.
La identificación de la cuenta crédito parecía ser un número de seguimiento interno para los clientes con crédito. Esta sería una forma más segura de realizar el seguimiento de los pagos y recibos de los usuarios al utilizar el número interno y no el DNI. La información personal identificable más sensible estaría en la cuenta del cliente. Estos números estaban en orden cronológico de 000001 – 283.000 y marcados como cuentas habilitadas o activas. Había otros números en las cuentas de los que no estoy seguro, por lo que no podemos confirmar o negar si los números de las tarjetas de crédito fueron expuestos. Como investigador de seguridad estadounidense radicado en Europa, no sé mucho sobre el sistema tributario o crediticio Argentino, pero creo que todas las personas merecen seguridad de datos cuando se trata de su información personal.
Hendel ofrece su propia tarjeta de crédito u opción de pago. Una carpeta contenía 283.000 registros que aparentemente incluían información de crédito de los clientes y estaba almacenada en la base de datos expuesta.
Los riesgos de exponer los datos de crédito de los clientes
La forma más común de fraude que enfrenta cualquier cliente a quien le han robado su información personal es cuando los delincuentes piden préstamos en su nombre, o solicitan documentos falsos para de esta manera cometer una amplia gama de robos de identidad. Una vez que el delincuente tiene los documentos falsificados, puede obtener créditos, préstamos y acumular deudas a nombre de la víctima. Argentina no es inmune a la ciberdelincuencia y el país ha sufrido varios incidentes a gran escala en los últimos años. En 2020 la principal compañía telefónica de Argentina, Telecom, fue hackeada y sus datos fueron encriptados con un ransomware. Los hackers pidieron un rescate de 7,5 millones de dólares. Varios meses después, la Dirección Nacional de Migraciones fue víctima de un ataque de ransomware por el que debió cerrar temporalmente las fronteras del país.
Estos datos expuestos, tales como el nombre y el DNI, pueden ser utilizados por delincuentes informáticos o comunes para cometer fraudes contra estos clientes. Los individuos podrían ser identificados utilizando buscadores de registros de código abierto que muestran dónde trabajan y otros datos que pueden servir para generar un perfil completo de la víctima y cometer delitos de robo de identidad. No estamos diciendo que estos individuos estuvieron en riesgo, y Hendel actuó de manera rápida y profesional para proteger los datos después de que les informamos de nuestros hallazgos. No está claro quién más tuvo acceso a esta información o por cuánto tiempo estuvo expuesta.
Un ejemplo de cómo se puede identificar a los individuos a partir de los números expuestos en la base de datos utilizando herramientas de búsqueda de código abierto. El CUIT es la “Clave Única de Identificación Tributaria”, y el CUIL es el “Código Único de Identificación Laboral”. Esta información podría mostrar incluso más detalles de los clientes y exponerlos a riesgos adicionales.
No está claro si Hendel ha informado a las autoridades o a los clientes sobre el incidente de datos según lo requiere la Ley de Protección de Datos Personales de Argentina. Según consta en la política de privacidad de Hendel en su rol como responsable de la base de datos de los clientes, recursos humanos, proveedores y prestadores, HENDEL ha registrado las bases de datos en cuestión en la Dirección Nacional para la Protección de los Datos Personales, y ha realizado hasta la fecha las renovaciones requeridas por la normativa vigente. Conforme a la Constitución Nacional Argentina, en el año 2000 se promulgó la Ley N° 25.326 de Protección de los Datos Personales con el fin de proteger los datos personales, y para dar a los individuos el acceso a la información almacenada en bases de datos públicas y privadas, y en otros registros.
No insinuamos que los clientes o solicitantes de crédito de Hendel hayan estado en peligro y sólo destacamos los aspectos de nuestro descubrimiento para concientizar sobre la protección de datos. Aconsejamos a cualquier empresa que experimente una violación de datos que realice una auditoría forense y notifique a los clientes o individuos afectados que estén atentos a cualquier cambio en sus cuentas de crédito. Creemos que los individuos merecen la privacidad y la seguridad de los datos, independientemente del país en el que vivan o del idioma que hablen. Al momento de la publicación no hemos recibido respuesta a nuestro aviso de divulgación responsable.
Jeremiah Fowler es un Investigador en Seguridad y cofundador de Security Discovery. Jeremiah comenzó su carrera como investigador en seguridad en 2015 y su misión es la protección de datos. Ha ayudado a identificar y proteger los datos de millones de personas en todo el mundo. Sus hallazgos se han publicado en Forbes, BBC, Gizmodo, entre otros. La seguridad y la divulgación responsable no son solo una pasión, sino una manera de proteger nuestras vidas en el mundo digital.
Comprobamos todos los comentarios de los usuarios en un plazo de 48 horas para asegurarnos de que todos son de personas reales como tú. Nos alegra que este artículo te haya resultado útil; apreciaríamos que se lo mostraras a otras personas.
Comparte esta publicación del blog con tus amigos y compañeros enseguida:
Thank you, , your comment was submitted successfully!
We check all comments within 48 hours to make sure they're from real users like you. In the meantime, you can share your comment with others to let more people know what you think.
¡Gracias por registrarte!
Una vez al mes, recibirás consejos y trucos interesantes y perspicaces para mejorar el rendimiento de tu sitio web y alcanzar tus objetivos de marketing digital.
