Dash expuso el sitio de soporte al cliente a la world wide web – Krebs on Security


Inmediatamente después de una revelación que Microsoft Corp. se filtró información interna de soporte al cliente a World-wide-web, proveedor de telefonía móvil pique ha abordado una confusión en la que las publicaciones en una comunidad privada de atención al cliente estuvieron expuestas en la Net.

KrebsOnSecurity contactó recientemente a Sprint para informarle a la compañía que los motores de búsqueda estaban indexando un foro interno de atención al cliente llamado «Atención social», y que varios meses de publicaciones sobre quejas de clientes y otros problemas se podían ver sin autenticación para cualquier persona con un navegador internet .

Una captura de pantalla redactada de un hilo de soporte al cliente de Dash expuesto a la World wide web.

Un portavoz de Dash respondió que el foro estaba destinado a ser una sección privada de su comunidad de apoyo, pero que un mistake hizo que la sección se hiciera pública.

«Estas conversaciones incluyen información mínima del cliente y se utilizan para representantes de primera línea para escalar los problemas a los gerentes», dijo Lisa Belot, Gerente de comunicaciones de Sprint.

Una revisión del foro de soporte expuesto por este autor sugiere que si bien ninguna de las publicaciones expuso información del cliente, como los datos de la tarjeta de pago, algunos de ellos incluyeron información de la cuenta del cliente, nombres de clientes, identificadores de dispositivos y, en algunos casos, información de ubicación.

Quizás lo más importante para Dash y sus clientes, el foro también incluyó numerosos enlaces y referencias a herramientas y procedimientos internos. Este tipo de información sin duda sería de interés para los estafadores que buscan realizar ataques de ingeniería social contra los empleados de Dash como una forma de cometer otros tipos de fraude, incluidos los intercambios de SIM no autorizados o para obtener más información de la cuenta de los clientes objetivo.

A principios de esta semana, vice.com informó que los piratas informáticos son trabajadores de phishing en las principales compañías de telecomunicaciones de EE. UU. para obtener acceso a las herramientas internas de la compañía. Esa noticia siguió un vice informe relacionado a principios de este mes que descubrió que los que no hacen nada ahora están haciendo que los empleados de telecomunicaciones ejecuten computer software que permite a los piratas informáticos acceder directamente a los sistemas internos de las compañías de telecomunicaciones de EE. UU. para hacerse cargo de los números de teléfono celular de los clientes.

El paso en falso de Dash se create pocos días después de que Microsoft reconoció que una foundation de datos que contenía «un subconjunto de información relacionada con las interacciones de soporte al cliente estaba disponible en Internet entre las fechas del 5 de diciembre y el 31 de diciembre de 2019». Microsoft dijo que estaba alertando a las personas cuya información fue expuesta, que incluyó información de ubicación, direcciones de correo electrónico e IP, números de teléfono y descripciones de problemas técnicos.

Un mensaje que Microsoft envió a los clientes afectados por su reciente filtración de datos de atención al cliente.

Esta semana marcó la observancia anual de Día de privacidad de datos, una ocasión en la que se nos recuerda que seamos más juiciosos sobre los tipos de información personalized que compartimos voluntariamente en las redes sociales y otros sitios world wide web. Pero tanto los tropiezos de Microsoft como Sprint son un recordatorio de que las compañías de miles de millones de dólares a menudo exponen esta información en nuestro nombre, incluso cuando estamos haciendo todo lo que está a nuestro alcance para protegerla.


Etiquetas: Lisa Belot, microsoft, Dash, vice.com

Esta entrada fue publicada el miércoles 29 de enero de 2020 a las 2:02 pm y está archivada en Violaciones de datos, Últimas advertencias.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic