Los clientes de Travelex se fueron en el limbo sin efectivo, ICO no alertó formalmente sobre las reclamaciones de robo de datos


Ola de ataques de ransomware REvil contra servidores Pulse Secure VPN no parcheados
El investigador advierte a las organizaciones que corrijan las fallas de Pulse Secure VPN ahora o se arriesguen a ataques de ransomware REvil de «gran juego».

La situación de Travelex empeora cada día.

Desde un ataque de ransomware en la víspera de Año Nuevo, el proveedor de divisas servicios en línea han permanecido fuera de línea, las compañías de terceros que aprovechan el sistema Travelex se han vuelto inútiles, los ciberdelincuentes responsables han exigido un rescate y han emitido una fecha límite, la furia de los clientes se ha disparado, y ahora, la Oficina del Comisionado de Información (ICO) del Reino Unido está esperando convertirse en involucrado.

El cambio de divisas originalmente decía que un «virus de software package» comprometía sus sistemas, pero estaba «contenido» mientras el particular «trabajaba para restaurar los sistemas y reanudar las operaciones normales lo más rápido posible».

Para la confusión de los clientes que intentan acceder a servicios de divisas de terceros, incluidos los ofrecidos por Tesco Financial institution, HSBC, Sainsbury&#39s Bank, Lloyds y Virgin Income, un mensaje de «mantenimiento planificado» estuvo en su lugar durante días, mientras que, al mismo tiempo, Travelex estaba respondiendo a consultas en las redes sociales hablando del «virus del application».

screenshot-2020-01-03-at-09-23-38.png

La Policía Metropolitana del Reino Unido dice que fue contactada el 2 de enero «con respecto a un ataque de ransomware reportado que involucra un cambio de moneda extranjera» y ahora se está llevando a cabo una investigación.

Sodinokibi está detrás del ataque. Travelex ha confirmado que el grupo, también conocido como REvil, ha logrado encriptar al menos algunos datos de clientes.

«Hasta la fecha, la compañía puede confirmar que si bien ha habido algún cifrado de datos, no hay evidencia de que los datos personales estructurados del cliente hayan sido cifrados», dijo la compañía. «Whist Travelex aún no tiene una imagen completa de todos los datos que se han cifrado, todavía no hay evidencia hasta la fecha de que se hayan extraído datos».

Si la situación estuviera realmente contenida, parece extraño que los operadores de ransomware en el centro del incidente de seguridad se sientan lo suficientemente seguros como para exigir un pago de rescate, según los informes, vinculado a $ 6 millones a cambio de descifrado, restauración de sistemas de TI y la preservación de datos del cliente, de los cuales los piratas informáticos afirman poseer fechas de nacimiento, información de tarjeta de crédito y números de seguro nacional (NI).

Como reportado por la BBC, los actores de la amenaza afirman haber accedido a los sistemas Travelex hace seis meses, lo que condujo a la exfiltración de 5 GB en la información del cliente.

El año pasado, se descubrió que Sodinokibi estaba haciendo uso de las vulnerabilidades de día cero de Windows, métodos inusuales para mantener la persistencia en los sistemas infectados y claves maestras que permiten a los operadores descifrar archivos sin importar qué claves estén en uso, lo que podría significar malas noticias. Para Travelex, si las claves maestras pueden utilizar la variante en juego para filtrar los datos cifrados del cliente.

El uso de tales claves ha llevado a más especulaciones de que los desarrolladores pueden estar ofreciendo el malware como ransomware-as-a-support (RaaS).

Hace solo unos días, se envió una advertencia a las empresas que utilizan servidores Pulse Protected VPN sin parches, ya que parece que los operadores de ransomware Sodinokibi están atacando activamente estos sistemas.

Travelex se disculpó con los clientes, quienes deben visitar la sucursal para ordenar o cobrar su moneda hasta que la situación haya sido contenida. Sin embargo, las disputas en curso han llevado a la frustración del cliente.

Varios clientes se han quejado de ser «engañados» por el cambio de moneda, como lo señala El independiente, con la moneda ordenada atascada en el limbo digital y algunos usuarios, actualmente en el extranjero, no han podido acceder a los fondos colocados en las tarjetas de cajero automático Travelex antes de que el ciberataque bloqueara los sistemas de la empresa.

Un cliente se quejó de que «no hubo ayuda ni servicio al cliente».

Travelex no ha emitido ninguna forma de cronograma para la restauración de los servicios.

Según el Reglamento Typical de Protección de Datos de la UE (GDPR) y las leyes de protección de datos del Reino Unido, las empresas ahora están obligadas a informar a la ICO de las violaciones de datos. Sin embargo, un portavoz de ICO ha dicho que Travelex aún no ha presentado dicho informe.

«Las organizaciones deben notificar a la ICO dentro de las 72 horas de haberse enterado de una violación de datos personales a menos que no represente un riesgo para los derechos y libertades de las personas», agregó el portavoz. «Si una organización make a decision que no es necesario informar una violación, debe mantener su propio registro de la misma y poder explicar por qué no se informó si es necesario».

Si se considera que este incidente es lo suficientemente grave y en el que Travelex no protegió adecuadamente los sistemas informáticos y los datos del cliente que posee, la ICO puede emitir una multa de hasta el cuatro por ciento de la facturación world anual. La decisión de no informar al ICO tan pronto como se notice la posible violación también puede ser un element en futuras multas.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary