El equipo de investigación del sitio especializado SafetyDetectives reveló una fuga de datos de la cadena de cines Cineplanet.
La brecha de seguridad revela aproximadamente 14 millones de registros de inicio de sesión y más de 205 millones de registros de datos de los clientes de la empresa.
Los investigadores, liderados por el especialista Anurag Sen, descubrieron que no se había tomado las medidas de seguridad necesarias para proteger la base de datos de los clientes que acudieron al cine durante el mes de diciembre del 2019. La fuga se cerró el 24 de enero de 2020, según el reporte.
La información vulnerable incluye la identificación del usuario, su número de DNI, correo, teléfono, dirección, estado civil, así como contraseñas sin cifrar.
También se pudo detectar saldo de puntos de fidelización de los clientes, y datos bancarios como el número de los primeros cuatro y últimos cuatro dígitos de la tarjeta de crédito, la fecha de vencimiento y el código de referencia bancaria.
¿Qué se está filtrando?
Los datos técnicos recuperados ofrecen la dirección IP, navegador, dispositivo y registros de sesión del usuario.
“Los números de tarjetas de crédito parciales (primeros y últimos cuatro dígitos) pueden conducir al robo de identidad y al fraude al proporcionar la información necesaria para el restablecimiento de contraseñas”, revela el informe de SafetyDetectives.
Luego se agrega: “Esta fuga de datos también representa una amenaza física real para los cinéfilos. Con los nombres y domicilios a la mano, los delincuentes pueden acechar o atacar a posibles víctimas”.
De acuerdo con el reporte, no se pudo identificar si la base de datos cayó a manos de cibercriminales que pudieran concretar fraudes informáticos.
Riesgos en investigación
Por su parte, la cadena de cines peruana Cineplanet informó en Twitter que se realiza la investigación interna sobre lo ocurrido.
«(El jueves 23 de enero) se tomaron las acciones correctivas. Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información», señaló la empresa.
Hola, el jueves 23 de enero se reportó una brecha de seguridad en uno de nuestros servidores y ese mismo día se tomaron las acciones correctivas. Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información.
— Cineplanet Perú (@cineplanet) January 27, 2020
Mientras tanto, Cecilia Pastorino, Security Researcher de Eset Latinoamérica, estimó que la información de la base de datos no estuvo cifrada.
Además, destacó que las malas prácticas más frecuentes son configuraciones incorrectas, errores de usuarios, sistemas de testing con datos reales, y falta de seguridad para las bases de datos.
La especialista recomendó que las empresas cuenten con un sistema de auditoría de seguridad, así como usar contraseñas fuertes y cifrar la información que sea sensible.
En cuanto a las posibles víctimas, Pastorino recomendó que se cambie la contraseña de las cuentas registradas en el perfil de cliente del cine. Se trata de claves con al menos caracteres simbólicos, números y letras en minúsculas y mayúsculas.
La División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía registró 3,012 denuncias de fraudes electrónicos, pornografía infantil, suplantación de identidad y otros delitos informáticos durante el 2019.
La mayor cantidad de denuncias se concentra en el delito contra el patrimonio. Los fraudes informáticos y sus subtipos alcanzaron 2,097 casos durante el 2019. Esta cifra se elevó en más de 8% con respecto al 2018, que cerró con 1928 casos.
Reporte completo:
https://www.safetydetectives.com/blog/cineplanet-leak-report/
