Equifax tenía ‘admin’ como nombre de usuario y contraseña en Argentina

El proveedor de reportes de crédito Equifax ha sido acusado de una nueva violación de seguridad de datos, esta vez afectando sus operaciones en Argentina.

El blogger de crímenes cibernéticos Brian Krebs dijo que se puede acceder a una herramienta de empleado en línea en el país escribiendo “admin” como login y contraseña.

Agregó que esto dio acceso a registros que incluían miles de números de identidad nacional de los clientes.

La semana pasada, la firma reveló un ataque separado que afecta a millones en los EEUU.

Después de ser notificado de la última violación, Equifax cerró temporalmente el sitio web afectado.

“Nos enteramos de una potencial vulnerabilidad en un portal interno en Argentina que no estaba de ninguna manera conectado con el evento de seguridad cibernética que ocurrió en Estados Unidos la semana pasada”, dijo a la BBC una portavoz de Equifax.

“Inmediatamente actuamos para remediar la situación, lo que afectó a una cantidad limitada de información estrictamente relacionada con los empleados de Equifax.

“No tenemos evidencia en este momento de que ningún consumidor o cliente haya sido afectado negativamente, y continuaremos probando y mejorando todas las medidas de seguridad en la región”.

El descubrimiento se produjo menos de una semana después de que Equifax revelara que una violación separada significaba unos 143 millones de consumidores estadounidenses y un número no revelado de residentes británicos y canadienses podría haber tenido detalles personales expuestos.

La firma tomó seis semanas para hacer público el descubrimiento después de que primero aprendiera de un problema.

El martes, 36 senadores estadounidenses solicitaron una investigación federal sobre cómo tres ejecutivos de la compañía llegaron a vender cerca de 2 millones de dólares (1,5 millones de euros) de acciones de la compañía en el ínterin.

Equifax también se enfrenta a decenas de demandas legales sobre el asunto.

El Sr. Krebs escribió que el asunto argentino involucraba el negocio local de Equifax, Veraz.

Específicamente, una aplicación web – llamada Ayuda, el español para “ayuda” – parece haber sido debilmente custodiada.

“Estaba abierto de par en par, protegido quizás por la combinación de contraseña más fácil de adivinar jamás: admin / admin”, escribió Krebs.

El descubrimiento fue realizado por la firma estadounidense de seguridad cibernética Hold Security, que el Sr. Krebs aconseja.

Sus investigadores exploraron el portal y en su interior encontraron una lista de más de 100 empleados argentinos, reveló el blogger.

Usando esta lista fueron capaces de descubrir los nombres de usuario y contraseñas de las empresas de los trabajadores, que resultaron ser coincidentes en cada caso.

Cada ejemplo representaba únicamente el apellido del trabajador o una combinación de su apellido y su primera inicial, lo que los hacía bastante fáciles de adivinar de todos modos, agregó Krebs.

‘Extraordinario’
“Pero espera, se pone peor”, escribió.

“Desde la página principal del portal de empleados de Equifax.com.ar se encontraba una lista de unas 715 páginas de reclamaciones y disputas presentadas por argentinos que en un momento de la última década habían contactado con Equifax vía fax, teléfono o correo electrónico para disputar asuntos con sus informes de crédito.

“El sitio también enumera el DNI de cada persona – el equivalente argentino del número de seguridad social – de nuevo, en texto plano”.

En total, había más de 14.000 registros de este tipo, dijo el Sr. Krebs, concluyendo que la empresa había sido “descuidado”.

A diferencia de los números de seguridad social en los Estados Unidos, los DNI están disponibles públicamente en Argentina.

Pero un experto en ciberseguridad con sede en el Reino Unido acordó que el caso planteó preguntas sobre cómo Equifax protege los datos que contiene.

“Este tipo de vulnerabilidad de seguridad es extraordinario, ya que incluso el más básico de los cheques debería revelar esto”, dijo el profesor Alan Woodward de la Universidad de Surrey a la BBC.

“Es escandaloso que cualquier organización que tenga datos personales tan sensibles pueda construir un portal con este tipo de vulnerabilidad de seguridad básica.

“Simplemente no debería suceder y responder que ahora han arreglado el problema no es el punto: pone un gran interrogante sobre si Equifax han estado aplicando los recursos apropiados a la seguridad en línea en otros lugares”.

Fuente: BBC News

 

Top