Una cadena hotelera expone datos de 130 millones de clientes

  • Actualidad

Huazhu Group informó que había filtrado 500 millones de archivos por una brecha de datos, los cuales actualmente están a la venta en un sitio web de la Dark Net por 8 Bitcoins. Se desconoce si el incidente se debe a un error o a la acción de un empleado malintencionado.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

En los últimos meses, ha habido otra brecha de seguridad masiva de la que poco se ha hablado. Su escala fue casi tan grande como la de Equifax, con 130 millones de clientes afectados. La pérdida de datos fue igualmente importante, ya a que las víctimas les fueron sustraídos números de seguridad social, direcciones de correo electrónico, números de teléfono e incluso información de cuentas bancarias.

A finales de agosto, una cadena hotelera china conocida como Huazhu Group informó que había filtrado 500 millones de archivos, que comprenden datos de 130 millones de personas. Los datos están actualmente a la venta en un sitio web de Dark Net por 8 Bitcoins, algo más de 50.000 dólares. Aunque este incidente ha ocurrido en China, ofrece importantes lecciones para empresas de todo el mundo.

Aunque el resultado final del hackeo es conocido, existen muchas preguntas son contestar en cuanto a los métodos utilizados. Un informe menciona que los desarrolladores subieron accidentalmente la base de datos de 140 gigabytes a un repositorio GitHub inseguro. Otro informe menciona lo mismo, pero apunta a un desarrollador anónimo que trabajaba con los atacantes.

Ya sea fruto de un error o el trabajo de un empleado malintencionado, el incidente pone de manifiestode que Huazhu Group no tenía controles internos efectivos para administrar el flujo de datos de los clientes. Si el Grupo está sujeto a PCI-DSS, y si su brecha incluyó datos del titular de la tarjeta (lo que parece probable), entonces esto puede representar una infracción de cumplimiento. Según el PCI Security Standards Council, los datos del titular de la tarjeta no deben almacenarse a menos que sea absolutamente necesario, deben protegerse mediante capas de seguridad interconectadas y deben mantenerse encriptados en todo momento.

La trazabilidad debe ser una preocupación importante en cualquier base de datos que maneje los números de cuentas bancarias, las tarjetas de identificación o la información de pago de las personas. Si no se puede averiguar dónde están los datos más importantes o quién tiene acceso a ellos en un momento dado, es posible que no se pueda determinar si una brecha de datos fue el resultado de una acción criminal o de un error más excusable.