Una falla de datos dejó a los bancos y ayuntamientos expuestos con una búsqueda rápida en Google
hace 4 años
Google indexó detalles privados relacionados con más de 50.000 cartas enviadas por bancos y autoridades locales después de que una empresa de subcontratación con sede en Londres dejara su sistema irremediablemente expuesto. Los detalles sobre todo, desde la insolvencia hasta los recordatorios finales de los impuestos municipales impagos y las vacaciones hipotecarias, se dejaron disponibles para que todos los vieran desde junio.
Miles de nombres y direcciones, y los tipos de cartas que se enviaron, quedaron expuestos, afectando a personas en el Reino Unido, Estados Unidos y Canadá. Virtual Mail Room, la firma responsable de la violación de datos, trabajó para clientes como Metro Bank, 14 ayuntamientos, la editorial Pearson y la especialista en insolvencia Begbies Traynor. El contenido específico de las cartas enviadas a las personas no fue visible.
La violación de la privacidad genera dudas sobre la debida diligencia llevada a cabo por empresas y autoridades locales que utilizan servicios de correo subcontratados para manejar datos confidenciales de los clientes. También llega en un momento particularmente doloroso, con muchos de los nombres y direcciones que figuran en la infracción pertenecientes a personas que han sido duramente afectadas financieramente por la pandemia. Tales pasos en falso podrían infringir el RGPD, y los controladores y procesadores de datos podrían enfrentar multas por un total de decenas de millones de libras. Un portavoz de la Oficina del Comisionado de Información, el regulador de datos del Reino Unido, confirmó que estaba al tanto del incidente y estaba haciendo averiguaciones.
Los detalles expuestos por la violación son enormemente personales. Entre el tramo de datos personales expuestos se encontraban los nombres y direcciones de 6.500 clientes de Aldermore Bank. El sistema de back-end que quedó expuesto revela qué clientes recibieron cartas de corrección y pre-mora. Un portavoz del banco dice que está investigando el problema. En otros lugares, más de 250 clientes de Metro Bank fueron identificados con el nombre y la dirección de su empresa. Un portavoz de Metro Bank dice que la compañía ha “suspendido temporalmente el intercambio de datos” con Virtual Mail Room como medida de precaución mientras continúa su investigación.
En su sitio web, Virtual Mail Room afirma que ofrece a los clientes “una interfaz web simple pero segura” que permite a las empresas cargar documentos, listas de contactos y otra información y realizar un seguimiento del progreso de los envíos por correo y generar informes. Pero lo que se diseñó como una forma rápida para que las empresas se contacten con sus clientes se ha convertido en un gran dolor de cabeza en materia de privacidad de datos.
Una base de datos de cartas enviadas por las autoridades locales revela los nombres y direcciones de 2.300 personas que viven en Croydon. Los ayuntamientos de Eastbourne, Reigate, North Tyneside, Ashford, North East Derbyshire y West Lindsey también se vieron atrapados en la brecha. Una base de datos mostró los detalles de cientos de personas que recibieron cartas de asociaciones de vivienda. Y no solo las personas que viven en el Reino Unido quedaron expuestas. Virtual Mail Room envía declaraciones de regalías de la editorial Pearson a Estados Unidos y Canadá. Los clientes de Aldermore con direcciones en Bélgica, Polonia, Alemania, Italia, los Emiratos Árabes Unidos, Suecia e Irlanda también se incluyeron en la infracción.
Mickel Bak, director de Virtual Mail Room, dice que la compañía fue el objetivo de un ataque que llevó a que los datos se publicaran en línea. “Claramente, estamos muy preocupados de haber sido el objetivo de un ataque para acceder a la información que tenemos”, dice. "Hemos tomado y estamos tomando las medidas necesarias para ayudar a nuestros clientes y las autoridades correspondientes en este caso". Todos los datos que quedaron desprotegidos se han asegurado desde entonces, pero no antes de que se dejaran en línea para que cualquiera pueda verlos desde junio.
Los nombres, direcciones de correo electrónico y números de teléfono del personal con acceso a los sistemas de Virtual Mail Room también fueron visibles. Las herramientas en el backend también se dejaron sin seguridad, lo que permitió que los trabajos de impresión y entrega se pudieran modificar o eliminar.
Robin Wood, un consultor de seguridad independiente, dice que la brecha parece ser el tipo de cosa que se detectaría si el sistema se probara adecuadamente. “También es algo que podría haber sido recogido por los equipos de marketing o SEO, que monitorean a Google para ver qué está indexado. Si lo hubieran visto, pero no se hubieran dado cuenta de lo que estaba sucediendo, entonces la capacitación en concientización les habría ayudado ”, dice Wood.
Más historias geniales de Mundo Informático
“Una enfermedad del hígado está poniendo en riesgo la existencia del Skye Terrier. Los bancos de ADN para perros podrían ayudar a salvarlo
? A medida que la tecnología de IA se vuelve más barata y más fácil de usar, el porno deepfake se está generalizando
? ¿De vuelta al trabajo? También lo son los ladrones. Aquí está la tecnología que necesita para mantener su hogar seguro
? Escuche The Mundo Informático Podcast, la semana de ciencia, tecnología y cultura, que se entrega todos los viernes
? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn
Si quieres conocer otros artículos parecidos a Una falla de datos dejó a los bancos y ayuntamientos expuestos con una búsqueda rápida en Google puedes visitar la categoría Otros.
Otras noticias que te pueden interesar