Tras difundirse hace días los datos parciales del ciberataque a Phone House por parte de Babuk, los responsables de un ransomware del mismo nombre, han sido colgados en la Dark Web los archivos restantes, tras no pagar la compañía el rescate. Según los autores del ciberataque, con esta nueva publicación han subido 113 GB de datos correspondientes a 13 millones de clientes, según los atacantes.
Como ya contamos anteriormente, los datos filtrados contienen información tan sensible como identificadores de cliente, nombre y apellidos, DNI, algunos pasaportes, correos electrónicos (muchos de ellos repetidos y considerados falsos), números de teléfonos móvil, teléfonos fijos, fecha de nacimiento, nacionalidad, direcciones físicas, códigos postales, provincias, ciudades, etc.
Más datos que sumar a 'Have I been pwned?'
Tras la primera filtración, Troy Hunt, responsable de 'Have i been pwned?', sumó a su base de datos 5.223.350 correos electrónicos del ataque, aunque según comprobamos, los teléfonos filtrados aún no aparecían en su buscador (que tras la filtración de Facebook, ahora también permite introducirlos más allá de las direcciones de mail). Los atacantes hablan ahora de 13 millones de clientes, por lo que habrá que ver si pronto se actualiza el número de entradas reconocidas por 'Have i been pwned?'.
En uno de los últimos ficheros subidos se incluye DNI, nombre, apellido y hasta número de cuenta de más de 2,6 millones de personas con seguros contratados en The Phone House, pues hay que recordar que en sus tiendas se tramitaban muchos seguros para móviles, lo que aporta incluso más datos que los que dieran los clientes corrientes.
Individualmente, hay ficheros .DMP de 9,6 GB, 7,0 GB o 10 GB de gestión de datos. Phone House, tantos días después de que se hiciera público el ciberataque, sigue sin realizar comunicados ni informar a los medios sobre esta problemática. De acuerdo a la ley, la compañía tendría que haber comunicado a la AEPD en 72 horas tras conocer la brecha de datos. Más tarde, tendría que haber informado a los clientes afectados. De momento, seguimos esperando.
Ver 6 comentarios
6 comentarios
lamarse35
ya hay comunicado:
Como sabes, en Phone House estamos comprometidos con nuestros valores, con el servicio a nuestros clientes y con la privacidad y seguridad de tus datos.
Hoy, lamentablemente, te escribimos para informarte respecto al ciberataque que sufrimos el pasado domingo día 11 de abril de 2021. A pesar de todas las medidas de seguridad con las que contamos, en esta ocasión no ha sido posible evitar el ciberataque, y queremos trasladarte con detalle, exactitud y total transparencia lo ocurrido.
Desde el primer momento, nuestros equipos internos, junto con la compañía líder nacional y referente mundial en servicios de ciberseguridad, activaron el correspondiente plan de actuación y adoptaron las medidas más contundentes posibles para limitar el alcance de dicho ciberataque.
Como no podía ser de otra forma, Phone House ha notificado los hechos a la Agencia Española de Protección de Datos, estando en contacto desde el primer momento, con la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional, ante la que se ha presentado la correspondiente denuncia.
Desgraciadamente y, a pesar de que en muchos casos no llegan a trascender, los ataques cibernéticos son cada vez más habituales y, como sabes, están afectando a todo tipo de entidades, tanto del sector público como del sector privado.
Se trata de ataques planificados y perpetrados por redes internacionales que pretenden lucrarse por medio del chantaje. Su modus operandi consiste en cifrar y hacer inaccesibles los sistemas de dichas entidades con la intención de impedir completamente su actividad; así como en amenazar con revelar datos de los interesados afectados, sin importar el daño que pudieran ocasionar.
En Phone House queremos estar a la altura de lo que esperas de nosotros por lo que, en ningún momento, hemos accedido al chantaje. Hacerlo, sería contribuir a que, con dichos fondos, estos grupos criminales pudieran financiar otro ciberataque más, a otra compañía distinta de la nuestra, ocasionando así un nuevo daño a sus trabajadores y a sus clientes, entre los que posiblemente, podrías estar tú.
A pesar de que en Phone House contamos con todas las medidas de seguridad requeridas por la normativa de protección de datos, así como con aquellas definidas por los principales estándares internacionales, los atacantes han logrado acceder a información almacenada en nuestros sistemas. En base a las investigaciones realizadas hasta la fecha, la descarga de dicha información sería parcial y no afectaría a la totalidad de los datos tratados por parte de Phone House, pero es posible que algunos de tus datos se hayan visto comprometidos.
Los datos potencialmente afectados serían: nombre, apellidos, dirección postal, teléfono, correo electrónico, DNI (o equivalente), fecha de nacimiento, género, productos/servicios contratados, y, en caso de que nos lo hayas proporcionado, tu número de cuenta bancaria. Gracias al cumplimiento estricto por parte de Phone House, de la normativa de servicios de pago y tratamiento de datos de tarjetas, en ningún momento los datos de tus tarjetas bancarias se han visto comprometidos, en caso de que nos la hubieras facilitado, ya que no almacenamos este tipo de información. Tampoco se han puesto en riesgo ningún tipo de contraseñas.
Aun así, queremos transmitirte también que cualquiera que pudiera, como consecuencia de este ciberataque, conseguir acceso a dichos datos y los revelara a cualquier tercero, estaría actuando al margen de la Ley y, muy posiblemente, incurriendo en la comisión de un delito.
Por otro lado, queremos comunicarte que Phone House no ha sufrido pérdida definitiva de información, ni tampoco de ninguno de sus aplicativos por lo que los servicios que te prestamos no se han visto afectados en modo alguno. Asimismo, nuestra red de tiendas ha permanecido abierta sin que la operativa se haya visto interrumpida, así como nuestra web y nuestros servicios de soporte telefónico y digital, que están activos y funcionando con garantías de seguridad.
Lamentamos enormemente este incidente y condenamos enérgicamente este tipo de actividad criminal de la que hemos sido víctimas.
En Phone House continuamos trabajando día y noche en reforzar nuestros protocolos de seguridad para garantizar que disponemos en todo momento de las máximas medidas de protección disponibles.
Hemos habilitado una página de preguntas y respuestas relacionadas con el incidente que esperamos resuelvan tus principales dudas y que iremos actualizando si se produjese cualquier novedad al respecto: preguntas frecuentes.
Para solventar cualquier duda que pueda surgirte al respecto, te recordamos que nuestro Delegado de Protección de Datos está a tu disposición, al que puedes acceder desde nuestra web www.phonehouse.es, en el apartado Política de Privacidad.
Muchas gracias por tu comprensión ,
Con afecto,
El equipo Phone House.
asdaeqwe
Pues habrá que ir pensando en denunciar a "fonjaus" por no comunicar nada ni a la AEPD ni a sus clientes.
Hechs
Me surge una pregunta. ¿Existe constancia de rescates que sí se hayan pagado? Porque todo lo que nos suele llegar son filtraciones de aquellos que no acceden a pagar, pero desconocemos la cantidad de dinero que puede estar moviéndose de tapadillo.
wokan
Yo ya he podido ver datos de esa filtración de un "amigo de un amigo" y salen: amigos, familiares, conocidos,..... Tela marinera....