Librería Porrúa admitió que fue blanco de un ataque cibernético el cual afectó una base de datos que estaba en desarrollo y antigua de aproximados 900,000 clientes, sin embargo aclaró que no fue su base de datos principal en donde aloja a todos sus usuarios.
Después que el investigador de seguridad Bob Diachenko en colaboración con el sitio Comparitech, revelaron que los datos personales de 2.1 millones de registros de Librería Porrúa habían sido expuestos en internet sin contraseñas y luego vulnerados por hackers, la compañía señaló a Forbes México que efectivamente ocurrió una vulnerabilidad aunque no a esta escala.
“Hasta donde hemos podido determinar ahora es que sí, efectivamente tuvieron acceso a una base de datos, una base de datos pero de principios de desarrollo, no a la base de datos de producción. Qué quiere decir con esto, que no es la que accesa el público en general, sino que la que usamos para desarrollar”, señaló Edgar Gobea, gerente de tecnología de Librerías Porrúa.
Gobea señaló que aunque efectivamente se llevó a cabo este hackeo, la base de datos que resultó vulnerada contiene 900,000 usuarios y la base grande en donde contienen la información de sus clientes no resultó afectada.
De esta base de 900,000 Érika Carrillo, gerente de Comunicación de Librería Porrúa, dijo a Forbes Mexico que 500,000 se trataban de cuentas invitadas, las cuales no necesariamente requieren de todos los datos de los clientes.
“En principio yo diría que de cierta manera todos somos vulnerables chiquitos, medianos y grandes, pero adicional se están tomando medidas técnicas, no esperando a que pase algo más, si ya nos accedieron por algún lado, ahorita justamente ya tenemos a todo el equipo cambiando contraseñas, encriptando, con los algoritmos, etc, entonces si viene un trabajo y esfuerzo bastante importante en asegurarnos que eso ni a una base de desarrollo le vuelva a pasar”, agregó Gobea.
Sobre los datos que estuvieron expuestos, la investigación de Diachenko señala que el ataque a dosbases de datos incluía registros de compras, información de contacto de los usuarios y otros datos, sin embargo el vocero de la compañía aseguró que los datos de tarjetas de crédito o de realización de compras no estuvieron expuestos ya que ellos no almacenan ese tipo de información.
Según la investigación, los datos expuestos incluían dos conjuntos de registros: registros de compras y datos personales de los usuarios. El primero consta de casi 1.2 millones de registros que incluían facturas con detalles de compra, ID del carrito de compras, información de tarjeta de pago cash, códigos de activación y tokens, nombre completo, dirección de correo electrónico, dirección de envío y número de teléfono.
Además se incluyen alrededor de 958,000 registros de datos personales: Identificación del cliente, nombre completo, fecha de nacimiento, dirección de correo electrónico, número de teléfono, fichas de usuario, códigos de descuento de la tarjeta de activación, fechas de activación de la tarjeta de descuento, otra información.
“Si hablamos de los datos, se habla que almacenamos datos de tarjetas y eso no es cierto. Nosotros somos un tercero para bancarizar. Nosotros no almacenamos, solo mandamos datos a bancos y el banco los regresa. Seguimos investigando y rascando para poder tomar las medidas correspondientes“, detalló Gobea.
Sin embargo, admitió que hubo datos que si se encontraron comprometidos como correos electrónicos y nombre y apellido de algunos de sus clientes de esta base de desarrollo.
“Te diría que fueron los correos electrónicos, nombre y apellido y en ese entonces, que este es otro dato relevante, nosotros almacenábamos fecha de nacimiento, ahora ya no lo hacemos, este es otro indicador que es una base de desarrollo y además antigua”, dijo.
Sobre las consecuencias de este ataque, el representante de la empresa dijo que ya trabajan en temas de encriptación de data, de información y hasta en algoritmos con el fin de detectar si esta amenaza puede ir a más.
“Estamos muy preocupados por los clientes, pero sí decimos que es una base de datos antigua y es una base de datos justo en desarrollo y no es la que está en productivo. Y sobre todo que los usuarios estén tranquilos que su información sensible sigue resguardada lo que son las contraseñas y los temas de métodos de pago eso no existe en nuestras bases ni en esas ni en ninguna”, detalló.
La investigación de Diachenko señala que el 14 de julio de 2019 la base de datos fue indexada por primera vez por el motor de búsqueda Shodan.io. El 15 de julio el investigador descubrió la base de datos expuesta e inmediatamente notificó a la compañía.
Pago o rescate
El 18 de julio el contenido de la base de datos se eliminó y fue reemplazado por un mensaje de advertencia. El mensaje indicaba que los piratas informáticos habían robado los datos y exigían que se pagara un rescate en bitcoin.
Sobre este tema, Gobea señaló que no fue de su conocimiento siquiera que existiera un pago o un rescate por esta base de datos
“Nosotros así como nos empezamos a enterar nunca supimos siquiera del monto y de hecho lo platicábamos internamente y decíamos, se me hace un poco ridículo que alguien me pida 500 dólares o 0.5 de bitcoin por un rescate de toda mi información. No recibimos ese mensaje”, dijo.
Diachenko detalló en su investigación que al otro día, el 19 de julio se deshabilitó el acceso público a las bases de datos originales y clonadas (ahora vacías). Expuso que el 29 de julio el formulario de contacto en el sitio web de Librería Porrúa no funcionaba correctamente, “por lo que enviamos una solicitud de comentarios sobre este informe a través de Twitter”.
Sí recibieron la alerta
El 30 de julio de 2019 se envió un formulario de contacto enviado al sitio web de Librería Porrúa solicitando un comentario.
En esto último, Flor María Diaz, coordinadora jurídica de Porrúa, dijo también a Forbes Méxicoque este mensaje sí fue recibido por parte del área de atención a clientes.
“Algo muy importante que se menciona en la investigación es que nos habían mandado un mensaje de contacto a nuestra página y nosotros acabamos de recibir del área de atención a clientes el mensaje en donde efectívamente nos escriben poniéndonos y dándonos esta alerta. En donde dice que el 30 de julio envió un mensaje a través de nuestro sitio web, y si comenzamos a rascar ahorita haciendo atención a lo del artículo y si hace unos minutos acabamos de ver esto y por supuesto ya trabajamos en consecuencia”, detalló.
Medidas a tomar
Por su parte Diachenko detalló que las personas cuya información fue expuesta podrían estar en riesgo de spam, phishing dirigido y fraude. “Si ha registrado una cuenta en el sitio web de Librería Porrúa, esté atento a estos ataques”.
Por ejemplo, los usuarios afectados pueden recibir correos electrónicos que afirman ser de Librería Porrúa con un enlace a un sitio web falso de Librería Porrúa. Se puede indicar a los usuarios que ingresen los detalles de inicio de sesión en el sitio web falso idéntico, dando a los hackers sus contraseñas, advirtió.
La coordinadora jurídica de Porrúa señaló que las cartas a tomar serán levantar la respectiva denuncia con base en lo que están recabando de información y así tomar medidas legales.
“Además de la parte técnica, también vamos a tomar las medidas legales. Sobre la base de lo que estamos investigando y lo que vayamos recabando, vamos a presentar la respectiva denuncia porque el final del día nosotros también sufrimos una afectación que se traslada a nuestros usuarios y clientes pero vamos a tomar las medidas que estén disponibles para que las autoridades tengan el conocimiento y tomen las medidas pertinentes. En 18 años y como pioneros en el e-commerce y como librería, no nos habíamos enterado de una situación similar, y efectivamente seguiremos trabajando para reforzar las medidas de seguridad de nuestros clientes”, detalló.
Artículo publicado en Forbes México.