Aquí vamos de nuevo: Violaciones de datos mal gestionadas de 2023

Aquí vamos de nuevo: Violaciones de datos mal gestionadas de 2023

El año pasado, compilamos una lista de las peores violaciones de datos de 2022, mirando hacia atrás al mal comportamiento de gigantes corporativos cuando se enfrentaron a hackeos y violaciones. Eso incluyó desde minimizar el impacto en el mundo real de derrames de información personal hasta no responder preguntas básicas.

Resulta que este año, muchas organizaciones continúan cometiendo los mismos errores. Aquí está el informe de este año sobre cómo no responder a incidentes de seguridad.

Comisión Electoral ocultó detalles de un gran hackeo durante un año, pero aún no habla

La Comisión Electoral, el organismo encargado de supervisar las elecciones en el Reino Unido, confirmó en agosto que había sido blanco de «actores hostiles» que accedieron a los detalles personales, incluidos nombres completos, direcciones de correo electrónico, direcciones domiciliarias, números de teléfono e imágenes personales enviadas a la Comisión, de hasta 40 millones de votantes del Reino Unido.

Si bien puede sonar como si la Comisión Electoral hubiera sido sincera sobre el ciberataque y su impacto, el incidente ocurrió en agosto de 2021, hace unos dos años, cuando los hackers obtuvieron acceso por primera vez a los sistemas de la Comisión. Pasó otro año para que la Comisión atrapara a los hackers in fraganti. La BBC informó al mes siguiente que el organismo de control había fallado en una prueba básica de ciberseguridad alrededor del mismo tiempo que los hackers obtuvieron acceso a la organización. Aún no se ha revelado quién llevó a cabo la intrusión, o si se sabe, y cómo se produjo el incumplimiento de la Comisión.

Samsung no revelará cuántos clientes se vieron afectados por una violación de datos de un año

Samsung una vez más ha vuelto a nuestra lista de violaciones mal manejadas. El gigante de la electrónica volvió a adoptar su enfoque típicamente taciturno cuando se enfrentó a preguntas sobre una violación de un año de duración de sus sistemas que dio a los hackers acceso a los datos personales de sus clientes en el Reino Unido. En una carta enviada a los clientes afectados en marzo, Samsung admitió que los atacantes aprovecharon una vulnerabilidad en una aplicación de negocios de un tercero sin identificar para acceder a la información personal no especificada de los clientes que realizaron compras en su tienda del Reino Unido entre julio de 2019 y junio de 2020.

En la carta, Samsung admitió que no descubrió la vulnerabilidad hasta más de tres años después en noviembre de 2023. Cuando se le preguntó a TechCrunch, el gigante tecnológico se negó a responder más preguntas sobre el incidente, como cuántos clientes se vieron afectados o cómo los hackers lograron acceder a sus sistemas internos.

Los hackers robaron datos de Shadow, y Shadow guardó silencio

El proveedor francés de juegos en la nube Shadow es una empresa que hace honor a su nombre, ya que un ataque en octubre a la empresa sigue envuelto en misterio. El ataque vio a los atacantes llevar a cabo un «ataque avanzado de ingeniería social» contra uno de los empleados de Shadow que permitió el acceso a los datos privados de los clientes, según un correo electrónico enviado a los clientes afectados de Shadow.

Sin embargo, aún no se conoce el impacto total del incidente. TechCrunch obtuvo una muestra de datos que se cree fueron robados de la empresa que contenía 10,000 registros únicos, que incluían claves de API privadas que corresponden con cuentas de clientes. Cuando se le preguntó a TechCrunch, la empresa se negó a hacer comentarios, y no dijo si había informado al regulador de protección de datos de Francia, CNIL, sobre el incumplimiento según lo exige la ley europea. La empresa también no hizo pública la noticia del incumplimiento fuera de los correos electrónicos enviados a los clientes afectados.

Lyca Mobile se negó a decir qué tipo de ciberataque sufrió

Lyca Mobile, el operador de red virtual móvil con sede en el Reino Unido, dijo en octubre que había sido blanco de un ciberataque que causó una gran interrupción para millones de sus clientes. Lyca Mobile más tarde admitió una violación de datos, en la que atacantes no identificados habían accedido «al menos a parte de la información personal almacenada en nuestro sistema» durante el hackeo.

Ahora han pasado más de dos meses, y Lyca Mobile aún no ha dicho qué datos fueron robados de sus sistemas (a pesar de almacenar información personal sensible, como copias de tarjetas de identidad y datos financieros), o cuántos de sus 16 millones de clientes se vieron afectados por la violación. A pesar de las solicitudes repetidas de TechCrunch, la empresa también se ha negado a hacer comentarios sobre la naturaleza del incidente, a pesar de que el incidente se presenta como ransomware.

MGM Resorts aún no ha dicho cuántos clientes tuvieron datos robados después del hackeo

El hackeo de MGM Resorts es uno de los más memorables de 2022; el incidente vio que los hackers asociados con una banda conocida como Scattered Spider comprometieran los sistemas de la empresa para causar semanas de interrupciones en los hoteles y casinos de Las Vegas de MGM. MGM dijo que la interrupción costará a la empresa al menos $100 millones.

MGM reveló por primera vez que había sido blanco de hackers el 11 de septiembre. Pero no fue hasta octubre que la empresa confirmó en una presentación regulatoria que los atacantes habían obtenido parte de la información personal perteneciente a los clientes que realizaron transacciones con MGM Resorts antes de marzo de 2019. Eso incluye los nombres de los clientes, información de contacto, género, fechas de nacimiento, números de licencia de conducir y números de Seguro Social y escaneos de pasaporte para algunos clientes.

Ahora han pasado más de tres meses, y aún no sabemos cuántos clientes de MGM se vieron afectados. Los portavoces de MGM han rechazado repetidamente responder a las preguntas de TechCrunch sobre el incidente.

La violación de Dish podría afectar a millones, potencialmente muchos más

En febrero, el gigante de la televisión satelital Dish confirmó en una presentación pública que un ataque de ransomware fue el culpable de una interrupción en curso y advirtió que los hackers extrajeron datos de sus sistemas que podrían haber incluido la información personal de sus clientes. Sin embargo, Dish no ha proporcionado una actualización sustantiva desde entonces, y los clientes aún no saben si su información personal está en riesgo.

TechCrunch supo que, a pesar del silencio de la empresa, el impacto del incumplimiento podría extenderse mucho más allá de los aproximadamente 10 millones de clientes de Dish. Un antiguo distribuidor de Dish le dijo a TechCrunch que Dish retiene una gran cantidad de información de clientes en sus servidores, incluidos nombres, fechas de nacimiento, direcciones de correo electrónico, números de teléfono, números de Seguro Social e información de tarjetas de crédito. La persona dijo que esta información se retiene indefinidamente, incluso para clientes potenciales que no pasaron la verificación de crédito inicial de Dish.

CommScope tardó en informar a sus propios empleados que sus datos fueron robados

TechCrunch escuchó de empleados de CommScope que dijeron que los dejaron en la oscuridad sobre una violación de datos en la empresa que afectó su información personal. La empresa con sede en Carolina del Norte, que diseña y fabrica productos de infraestructura de red para una variedad de clientes, fue blanco de la banda de ransomware Vice Society en abril. Los datos filtrados por la banda, y revisados por TechCrunch, incluían los datos personales de miles de empleados de CommScope, incluidos nombres completos, direcciones postales, direcciones de correo electrónico, números personales, números de Seguro Social, escaneos de pasaportes e información bancaria.

CommScope se negó a responder nuestras preguntas relacionadas con los datos filtrados de los empleados, y tampoco respondió a los afectados. Varios empleados le dijeron a TechCrunch en ese momento que los ejecutivos de CommScope se mantuvieron callados sobre el incumplimiento, diciendo poco más allá de que «no tienen evidencia» para sugerir que los datos de los empleados estuvieron involucrados.