La semana pasada se confirmaba que habían conseguido acceder a los sistemas de Equifax, robando información de 143 millones de usuarios, en su mayoría de Estados Unidos, Canadá y Reino Unido. Una nueva información asegura que hay que agregar más países a esa lista.
Desgraciadamente, todo apunta a que Argentina, Brasil, Uruguay, Perú, Paraguay, Ecuador y Chile también estarían entre los países afectados. En estos territorios, Equifax lleva a cabo operaciones y tiene muchos clientes.
En el caso de Argentina, han descubierto que se podía acceder a Veraz (portal que utilizaban los empleados de Equifax en ese país) con el usuario y contraseña "admin". Nuevamente, nos vuelve a sorprender el nombre de usuario y contraseña que utilizan empresas importantes.
Los investigadores de Hold Security encontraron que acceder a Veraz era así de sencillo. Por si fuera poco, una vez dentro pudieron ver los datos de más de 100 empleados de Equifax en Argentina: correo electrónico, número de identificación, etc.
Datos de los trabajadores y miles de quejas
Utilizando el usuario y contraseña “admin/admin”, se puede añadir, modificar o eliminar usuarios en el sistema. Una rápida búsqueda en Linkedin indica que Equifax Veraz tiene más de 110 empleados en este territorio.
Las cosas van de mal en peor, ya que al hacer click derecho sobre el nombre de uno de esos empleados se dieron cuenta de que podían ver la contraseña del usuario. Descubrieron que las contraseñas estaban formadas por el apellido del trabajador o una combinación de sus iniciales y el apellido.
Además, a través de la página web equifax.com.ar tuvieron acceso a más de 14.000 registros de quejas de los clientes. Pudieron ver dichas quejas (enviadas mediante fax, teléfono o email) y también a los datos del cliente en cuestión: nombre, número de seguridad social y detalles de la reclamación.
Como vemos, es mucho más grave de lo que pensábamos. A modo de respuesta, la compañía deshabilitó Veraz y aseguran que están "validando la queja". Lo cierto es que es impresionante como sistemas que albergan datos sensibles de tantos usuarios siguen tienen implementada una seguridad nefasta.
En Genbeta | ¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?
Ver 2 comentarios