Las autoridades de Singapur establecieron una multa equivalente a más de $54,000 USD contra Commeasure, compañía propietaria del sitio web de reservas RedDoorz después de que esta plataforma filtrara la información de casi 6 millones de clientes, en lo que se convirtió en la mayor brecha de datos que el país ha investigado.
Esta sanción fue impuesta a través de la Comisión de Protección de Datos Personales (PDPC), organismo que determinó que la compañía no contaba con las medidas de seguridad adecuadas para restringir accesos no autorizados y extracción de datos confidenciales alojados en sus sistemas.
Según reportes, Commeasure detectó la brecha de datos en septiembre de 2020, cuando una firma de ciberseguridad con sede en E.U. presentó un informe detallado sobre un incidente de seguridad, ofreciendo sus servicios para abordar las consecuencias de la brecha de datos.
La PDPC señala que la información comprometida incluye todo tipo de detalles personales, tales como:
- Nombres completos
- Números telefónicos
- Direcciones email
- Fechas de nacimiento
- Credenciales de acceso a RedDoorz
- Historial de solicitudes
Las autoridades determinaron que la filtración no involucra detalles financieros, aunque la mala noticia es que la información comprometida está disponible a la venta en un foro de hacking ilegal.
Las fallas que provocaron la brecha de datos han existido desde los inicios de la compañía, cuando se incrustó una clave de acceso de Amazon Web Services (AWS) en un paquete de su aplicación de Android, disponible en Google Play Store. La aplicación existe desde 2015 y fue actualizada por última vez en 2018, en una clara demostración de deficiencia de seguridad.
Empleando la clave de acceso AWS, un actor de amenazas no identificado logró acceder y extraer los registros alojados en la nube por RedDoorz. Si bien la compañía trató de proteger la información de sus clientes empleando una herramienta de ofuscación, los atacantes pudieron aplicar ingeniería inversa a la aplicación de Commeasure. La compañía argumenta que no pudo implementar mejores mecanismos de seguridad debido a un alto nivel de rotación de empleados, aunque la PDPC desestimó esta explicación. Aunque Commeasure podría apelar la decisión, pero no parece haber argumentos suficientes.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.