Cómo los datos confidenciales de los clientes de Property Chef se vieron comprometidos por un ciberataque


Robado en una violación reciente, los nombres, las direcciones de correo electrónico, las contraseñas cifradas y otros datos de los clientes de Household Chef se venden en la Dim Internet.

El servicio de entrega del kit de comidas Dwelling Chef fue golpeado por un ciberataque reciente que capturó varios datos confidenciales de los clientes. Describiendo el incidente en su sitio world wide web, la compañía dijo que los datos comprometidos incluían nombres, números de teléfono, direcciones de correo electrónico, contraseñas cifradas, los últimos cuatro dígitos de los números de tarjetas de crédito y posiblemente información como direcciones de correo y frecuencia de entregas. Aunque Dwelling Chef dijo que no almacena información completa de tarjeta de crédito o débito, el robo de incluso cuatro dígitos de sus tarjetas de crédito puede ser alarmante para los clientes.

La compañía agregó que ha estado enviando correos electrónicos a los clientes afectados para alertarlos sobre la violación. Destacando que las contraseñas de los usuarios están encriptadas, sin embargo, insta a los usuarios a cambiar sus contraseñas actuales.

Según los informes, House Chef descubrió la violación solo después de enterarse de que los registros de los clientes se vendían en Dark Web. Un grupo legal que se hace llamar Shiny Hunters ha estado vendiendo las bases de datos de clientes de varias compañías, incluida una supuestos ocho millones de registros de Home Chef, de acuerdo con BleepingComputer. Hawking la base de datos por hasta $ 2,500, el grupo incluso proporcionó una muestra que revela la información almacenada en la tabla de la base de datos. En una declaración a BleepingComputer, Home Chef confirmó que su notificación de violación de datos está relacionada con la foundation de datos que se vende en línea.

VER: Conciencia de seguridad y política de capacitación (TechRepublic High quality)

En respuesta a la violación, Property Chef dijo en su sitio internet que «está tomando medidas para investigar esta situación y fortalecer nuestras defensas de seguridad de la información para evitar incidentes similares en el futuro».

Pero el escenario es acquainted. Se viola un sitio net debido a medidas de seguridad débiles, diversas vulnerabilidades o errores, un hacker experto y persistente, o una combinación de los tres. La compañía se entera de la violación, investiga la causa y alerta a los usuarios afectados. Las personas a cargo prometen arreglar cualquier debilidad de seguridad que permita que ocurra el ataque, y luego prometen no permitir que vuelva a suceder. Pero este tipo de incidente apunta a fallas específicas en la armadura de seguridad de Household Chef y la de muchas otras compañías.

«Desafortunadamente, como la gran mayoría de las empresas quebradas, parece que Home Chef solo fue alertado de que había un problema después de que la información de sus clientes ya se publicaba en línea», dijo Chris Clements, vicepresidente de arquitectura de soluciones para Cerberus Sentinel. . «Es possible que los atacantes hayan comprometido a Property Chef por algún tiempo y de hecho aún puedan tener acceso a sus sistemas y datos. Todavía podrían estar robando activamente la información del cliente. Sin la confirmación de Property Chef, es imposible saberlo. y romper la mentalidad de muchas nuevas empresas a menudo significa que la seguridad es una ocurrencia tardía «.

Clements también señaló una falta de especificidad en el mensaje de Household Chef.

«Los mensajes de House Chef en respuesta han sido muy claros al afirmar que algunos de sus datos se vieron comprometidos y que están investigando al tiempo que alientan a los usuarios a cambiar sus contraseñas», dijo Clements.

Aunque no se violaron los números completos de las tarjetas de crédito y las contraseñas simples, los ciberdelincuentes tienen formas de usar y abusar de otros tipos de datos de clientes.

«Si bien la información puede no parecer extremadamente útil a primera vista, los malos actores pueden usar esta información para crear ataques muy dirigidos a estos clientes», dijo Erich Kron, defensor de la conciencia de seguridad en KnowBe4. «Al tener direcciones de correo electrónico, direcciones, números de teléfono y los últimos cuatro dígitos de un número de tarjeta de crédito, los estafadores podrían suplantar de manera muy efectiva a alguien de la organización violada, hacer algunas llamadas telefónicas y solicitar información actualizada de la tarjeta de crédito, contraseñas, etc. técnicas de ingeniería social «.

Aunque las contraseñas se recogieron en la violación, House Chef dijo que están encriptadas, aunque aconsejó a los usuarios que las cambiaran. ¿Las contraseñas cifradas están a salvo de la explotación? No necesariamente.

«Dependiendo de las técnicas de cifrado y la fuerza utilizada, los atacantes podrían descifrar las contraseñas», dijo Kron. «Si bien los clientes pueden cambiar su contraseña en este sitio, los malos saben que las personas tienden a reutilizar las contraseñas en World wide web y podrían usar estas credenciales para realizar algo llamado ataque de relleno de credenciales. Aquí es donde los malos toman credenciales conocidas de un sitio website e intente usarlo para iniciar sesión en otros sitios, como bancos, otros sitios de compras, cuentas de correo electrónico, etc. «

Los usuarios atrapados en tal violación también deben tomar ciertas medidas para salvaguardar su información y evitar compromisos futuros.

«Las víctimas de esta violación deben asegurarse de que sus contraseñas se cambien en este sitio y en cualquier otro lugar donde se esté utilizando», dijo Kron. «Deben considerar habilitar la autenticación multifactor siempre que sea posible y analizar el uso de bóvedas de contraseñas, que generan contraseñas aleatorias para cada sitio. Las víctimas también deben ser conscientes de que pueden ser objeto de esquemas de phishing o vishing (phishing de voz) donde los estafadores llamarían ellos usan esta información que tienen y tratan de hacer que den más información «.

Las propias organizaciones deben hacer un mejor trabajo para evitar que ocurran violaciones de datos. Eso requiere la tecnología adecuada y la capacitación adecuada para el usuario, pero también un compromiso con la seguridad.

«Las organizaciones deberían adoptar una cultura de seguridad que incluya educación continua para todos los empleados sobre las amenazas de seguridad actuales y los mejores comportamientos, así como ataques simulados regulares o pruebas de penetración de usuarios y sistemas informáticos para garantizar que no existan vulnerabilidades o configuraciones incorrectas que un atacante pueda explotar, «Dijo Clements. «Finalmente, es elementary que las organizaciones tengan la capacidad de monitorear y responder continuamente a actividades sospechosas o inusuales en su red».

A pesar de los mejores esfuerzos de seguridad y protección, los hackers son inteligentes, dedicados y persistentes. En muchos casos, no se trata de si se producirá un ataque cibernético, sino cuándo ocurrirá. En ese caso, ¿cómo debería responder una organización, especialmente si los datos sensibles se ven comprometidos?

«En primer lugar, las organizaciones deben tener un program de respuesta a incidentes informáticos bien pensado que detalle las acciones que se tomarán si se detecta un incidente», dijo Clements. «Es importante que los planes de respuesta a incidentes se desarrollen con la cabeza fría y que todos sepan seguir el mismo proceso de antemano. Demasiadas veces en pánico después de un incidente, los que responden pueden cometer errores que provocan que los atacantes mantengan el acceso o los defensores eliminen evidencia crítica que pueda se utilizará para determinar la causa raíz del incidente «.

Finalmente, las organizaciones deben contactar a las personas adecuadas para ayudar después.

«Después de que se detecta una violación, es importante llegar a líneas de vida como la respuesta profesional a incidentes y firmas forenses, así como a las agencias policiales apropiadas», dijo Clements. «El equipo authorized también debe ser consultado para determinar qué requisitos legales o reglamentarios para revelar que se ha producido una violación».

Ver también

«data-credit =» weerapatkiatdumrong, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>istock-522152569.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2018/06/21/91011837-364a-4d8c-94dc-efc06470f48b/resize/770x/9f9f1249784cc2c69413a1f10857f71525 / stock569 .jpg

weerapatkiatdumrong, Getty Visuals / iStockphoto



Enlace a la noticia unique