La plataforma de programación FlexBooker se disculpó esta semana por una violación de datos que involucró información confidencial de 3,7 millones de usuarios.
En un comunicado, la empresa dijo una parte de su base de datos de clientes había sido violada después de que sus servidores AWS se vieran comprometidos el 23 de diciembre. FlexBooker dijo que “también se accedió y descargó su sistema de almacenamiento de datos” como parte del ataque.
Agregaron que trabajaron con Amazon para restaurar una copia de seguridad y pudieron restablecer las operaciones en aproximadamente 12 horas.
“Enviamos una notificación a todas las partes afectadas y hemos trabajado con Amazon Web Services, nuestro proveedor de alojamiento, para garantizar que nuestras cuentas vuelvan a estar seguras”, dijo un portavoz. “Pedimos disculpas profundamente por las molestias causadas por este problema”.
El portavoz dijo que los datos estaban “limitados a nombres, direcciones de correo electrónico y números de teléfono” y un sitio web que notifica a los clientes sobre la violación dice lo mismo.
Pero el experto en seguridad australiano Troy Hunt, que dirige el sitio Have I Been Pwned que rastrea la información filtrada, dicho el tesoro de datos robados incluía hashes de contraseñas e información parcial de tarjetas de crédito para algunas cuentas. Hunt añadió que los datos “se encontraron siendo comercializados activamente en un popular foro de piratería”.
Un portavoz de FlexBooker confirmó el informe de Hunt, diciendo que los últimos 3 dígitos de los números de la tarjeta se incluyeron en la infracción, pero no la información completa de la tarjeta, la fecha de vencimiento o el CVV.
FlexBooker informó sobre un ataque DDoS el 23 de diciembre y en su registro del ataque, la compañía dijo que causó interrupciones generalizadas de la funcionalidad principal de su aplicación y requirió ayuda de AWS para resolverlo.
“Se nos informó que esto no debería haber sido posible, pero antes de que pudieran ayudar técnicamente, tenían que asegurarse de que todas nuestras prácticas de seguridad fueran correctas. Ya completaron este paso y ahora esto pasó a su equipo de liderazgo, quien Hemos aprobado dedicar recursos técnicos a esto de inmediato”, dijo FlexBooker sobre la asistencia de AWS el 24 de diciembre.
“Realmente nos disculpamos nuevamente por el impacto aquí. Hemos estado hablando por teléfono con el soporte de AWS durante 7 horas, tratando de impulsarlos. Un ataque de fuerza bruta como este no debería haber sido posible, por lo que los estamos presionando con fuerza para que implementar una solución a nivel de red para garantizar que esto se resuelva de manera rápida y permanente para que esto nunca vuelva a suceder en el futuro”.
El problema se resolvió unas ocho horas después.
Nasser Fattah, de Shared Assessments, dijo que ha visto casos en los que los ataques DDoS a veces se lanzan como una distracción para interrumpir servicios comerciales vitales, mientras que el objetivo principal del adversario es obtener acceso y exfiltrar información confidencial.
“Sabemos que hay pérdidas financieras asociadas con las interrupciones del sistema, por eso los equipos de seguridad tienen todos los ojos puestos en el cristal, por así decirlo, cuando hay un ataque DDoS”, dijo Fattah. “Y cuando esto sucede, es importante estar preparado para la posibilidad de un ataque multifacético y ser muy diligente en el seguimiento de otras anomalías que ocurran en la red”.