El equipo de ciberseguridad de Website Planet ha dado con una base de datos que contiene aproximadamente 100 MB de información personal de clientes de Credinet, propiedad de la empresa financiera colombiana Sistecrédito.
El archivo con más de 140 mil registros se encuentra almacenado en Elasticsearch sin ninguna clase de cifrado y mucho menos sin contraseña. Se trata de una situación bastante delicada, pues, miles de personas están en riesgo de convertirse en víctimas de la ciberdelincuencia.
“Sistecrédito ofrece opciones de financiación a plazos para la compra a clientes que buscan comprar productos ahora y pagar más tarde en diferentes establecimientos afiliados en todo el país. La plataforma Credinet se utiliza en los puntos de venta que desean inscribir a sus clientes en el servicio Sistecrédito, para financiar la compra de bienes que se venden en la tienda”, así la describe el equipo de Website Planet.
Se han filtrado desde nombres hasta tokens de acceso a cuentas de los clientes
Las pocas medidas de Sistecrédito expusieron la PII ( información de identificación personal) de más de 143.876 registros. Eso incluye nombres, apellidos, números de teléfonos, direcciones de correo electrónico e incluso datos financieros.
Adicionalmente, más de 3 mil registros incluían tokens JWT (JSON Web Token), usados para ingresar a las cuentas de los clientes. Y, por si fuera poco, los enlaces de restablecimiento de contraseña de los clientes también quedaron expuestos. Prácticamente, estos datos podrían emplearse para acceder a miles de cuentas sin mayor problema.
Una filtración mayor
En esta fuga, no solo los clientes de Credinet resultaron afectados. La misma empresa sale perjudicada, puesto que se puede dar “una filtración mayor de datos de clientes en el futuro”. Esto debido a que la información filtrada también incluye “un registro con secretos de la aplicación, que brindan más detalles sobre el almacenamiento de datos de la plataforma”.
Asimismo, el grupo de Website Planet halló dos contraseñas con privilegios adicionales, es decir, de administrador, que suponen más control sobre la base de datos de SQL de Credinet.
¿Qué consecuencias trae este hecho para los afectados?
Como Sistecrédito es una empresa que se limita a tratar con usuarios colombianos, es más que claro que se limita a residentes de ese país. Sin embargo, se desconoce la magnitud de la fuga de datos, pues, solo la compañía puede saber si personas no autorizadas han accedido a su base de datos.
No obstante, la información personal filtrada podría emplearse para cometer fraude y robar identidades de las víctimas. Incluso, como phishing o un canal para recibir software maliciosos.
En el caso de Sistecrédito, sus malas prácticas ponen en entredicho la reputación de la empresa y la confianza que los clientes han depositado en ella. Adicionalmente podría enfrentar cargos financieros por daños a datos sensibles, según la ley colombiana 1581.