Que los datos de nuestros clientes se filtren por un ataque es una muy mala noticia, pero peor aún es dichos datos se revelen por un fallo propio. Y eso deben estar pensando en SCUF Gaming, una subsidiaria de Corsair que desarrolla gamepads de alta gama para Xbox, PS4 y PC. Y es que, según se acaba de saber, la base de datos de clientes de la compañía se ha visto expuesta públicamente, según informa la propia compañía en un comunicado oficial que han hecho público en su página web.
De lo que se deduce por las declaraciones de la compañía, el problema se produjo cuando se estaba poniendo en funcionamiento la infraestructura necesaria para que sus empleados pudieran teletrabajar, como consecuencia del coronavirus. En dicha puesta en marcha, una base de datos de clientes, con información como nombre, correo electrónico, dirección postal, historial de compras, etcétera, quedó expuesta y sin protección en uno de los servidores de la compañía, plenamente accesible desde Internet. Y así permaneció, según afirman, durante dos días.
MS Recomienda
Fue entonces cuando el investigador de seguridad Bob Diachenko la encontró y, de inmediato, informó a SCUF Gaming de estas circunstancias. Tras realizar las comprobaciones básicas, la base de datos fue retirada aproximadamente dos horas después de esta comunicación. El problema es que, durante ese tiempo, los dos días, los datos fueron accesibles desde la web sin ninguna protección de contraseña o autenticación
Durante ese periodo, un bot malévolo detectó esta anomalía y automáticamente dejó una nota de rescate con el siguiente texto: «Su base de datos descargada y replicada (copia de seguridad) en nuestros servidores seguros. Para recuperar sus datos perdidos, envíe 0,3 BTC a nuestra dirección de BitCoin y contáctenos por correo electrónico«. Esto, por sí mismo, no confirma que se llegara a producir el ataque, pero sí que la información se pudo ver expuesta.
A este respecto, lo más probable es que los delincuentes involucrados no tuvieran tiempo suficiente para eliminar o encriptar los datos presentes en la base de datos, por lo tanto, es poco probable que hayan podido secuestrarlos. Sin embargo, los clientes y el personal de SCUF podrían correr el riesgo de ataques de phishing, robo de identidad y fraude por parte de los ciberdelincuentes que podrían haber descargado la base de datos filtrada.
Según el comunicado de SCUF Gaming, los clientes no deben preocuparse por la seguridad de sus medios de pago y sus contraseñas, ya que toda esa información estaría cifrada y, por lo tanto, resultaría totalmente inútil para los ciberdelincuentes. La única excepción a este respecto, eso sí, estaría en las operaciones de compra realizadas con anterioridad al 28 de marzo de 2019, sobre las cuales sí que se podrían conocer, además de los datos personales, los cuatro últimos dígitos y la fecha de caducidad de las tarjetas de crédito empleadas.
Fuente:https://www.muyseguridad.net