A comienzos de este mes, nos hicimos eco de que un ciberdelincuente había logrado acceder a los sistemas internos de la compañía española de repartidores Glovo, logrando así hacerse con los datos privados tanto de los clientes de la plataforma como de sus 'riders'.
El investigador de ciberseguridad que dio la voz de alarma, Alex Holden, afirmó haber tenido acceso a capturas de pantalla y vídeos que mostraban cómo había tenido lugar la intrusión: aprovechando una vulnerabilidad en un antiguo panel de administración, que poco después fue parcheada por la compañía.
Sin embargo, en ese momento los datos se encontraban ya a la venta en la Dark Web, donde se ofrecía un archivo de 180 GB de datos accesible para cualquier comprador interesado.
Hoy, sin embargo, en la web Derecho de la Red han publicado una captura de pantalla de una web en la que se ofrece para su venta un archivo mucho mayor, de casi 500 GB —presumiblemente, ahora sí, la base de datos completa—, junto con muestras de los datos que contiene.
Ya sabemos qué tipo de datos personales se filtraron
Este es el texto visible, traducido:
Hola, ponemos a la venta la base de datos completa de Glovo. […] Son 480 GB descomprimida, 60 GB comprimida.
La base de datos completa incluye los siguientes apartados: 'usuarios', 'repartidores', 'clientes', 'pedidos', 'partners', 'tiendas'.
A continuación, ponen un ejemplo de los datos incluidos en el apartado de 'Usuarios': número de identificación, nombre completo, fecha de nacimiento, email, teléfono, contraseña, dirección, código de ciudad, número de la tarjeta de crédito, número del DNI y número de la cuenta bancaria.
Lo más impactante de esta nueva tanda de datos privados radica en el hecho de que parece apuntar a que en la filtración original se incluían los números de las tarjetas bancarias de los usuarios de Glovo, una información a la que la compañía negó hace unas semanas que el 'hacker' hubiera podido acceder.
Tras ponernos en contacto con Glovo, la compañía ha querido dejar claro que se reafirma en sus declaraciones previas:
"Queremos volver a insistir en que las contraseñas se encuentran encriptadas de manera que no son accesibles para nadie y que no se está exponiendo ningún dato de tarjetas de crédito, puesto que no almacenamos dicha información".
Vía | Derecho de la Red
Imagen | Original de Angel Ganev vía Flickr
Ver 1 comentarios