Moneyback Mexico

La empresa MoneyBack, cuyos servicios de reembolso de impuestos benefician a miles de viajeros de negocios y turistas extranjeros en México, ha dejado al descubierto y sin seguridad los datos de sus usuarios, según un reciente informe. Los investigadores han descubierto que los datos privados de los usuarios de MoneyBack han sido expuestos a través de una base de datos no segura.

¿Cómo funciona MoneyBack?

MoneyBack es una empresa líder de reembolso de impuestos para viajeros internacionales de México, que cuenta actualmente con más de 50 puntos de servicio en todo el país.

Un reembolso de impuestos ocurre cuando la obligación tributaria de la persona es menor que la de los impuestos pagados sobre las compras (Impuesto Sobre la Renta, por ejemplo), es decir, si el turista debe menos del monto total del impuesto, el dinero es reembolsado. La compañía ha establecido alianzas con tiendas minoristas de todo el país para alentar a los turistas a comprar más, a cambio de las exenciones fiscales.

Información sensible expuesta

Los investigadores de seguridad descubrieron que la información filtrada estaba vinculada a MoneyBack, a través de una base de datos insegura que contiene más de 400 GB de datos, a los cuales podrían haber accedido los hackers. Los investigadores que descubrieron la falla pertenecen a Kromtech Security, y afirman que la base de datos no estaba protegida por contraseña.

En una publicación del blog de Kromtech, los investigadores revelan:

Entre los principales pasaportes identificados, se encontraban ciudadanos de Estados Unidos, Canadá, Argentina, Colombia, Italia y muchos más. Parece ser que todos estos clientes han utilizados sus servicios entre 2016 y 2017.

La base de datos contenía 455.038 documentos escaneados, que incluían los datos de identidad de los clientes, información de sus tarjetas de crédito y 88.623 números de pasaporte. Bob Diachenko, investigador de Kromtech Security, expresó que la empresa descubrió la base de datos en agosto.

Diachenko afirmó que los documentos fueron subidos a la base de datos insegura en 2015, mientras que los más recientes son del mes de mayo de 2017. Con respecto de la posibilidad de que los hackers hubiesen accedido a los datos, Diachenko declaró que si un turista viajó a México entre 2015 y 2017 y reclamó su reembolso de impuesto por compras a través de MoneyBack, sus datos probablemente quedaron expuestos.

MoneyBack aún no se ha pronunciado sobre el incidente, y tampoco queda claro cuánto tiempo permanecieron los datos sin protección. A pesar de ello, los expertos en seguridad afirman que la compañía aseguró la base de datos luego que se le alertó sobre el incidente.