La filtración de datos es una consecuencia de la montaña de datos en que se ha convertido el mundo. Mobikwik, una empresa de pagos a través del movil sufrió una brecha de seguridad. La respuesta de la compañía ha sido negarla sin aportar ninguna prueba. Hay bastante evidencias que efectivamente ocurrió.
Cuando una compañía que posee datos sensibles de clientes como por ejemplos sus tarjetas de crédito y sufre una violación de su seguridad y puede que sus datos se hayan visto expuestos lo que tienen que hacer es realizar un análisis exhaustivo, una auditoria, para saber si efectivamente fue así. Además tienes que hacer público lo que ha ocurrido y si hubo una filtración tienes que pedir disculpas y pedir a tus clientes que cambien sus contraseñas lo antes posible.
Qué ocurrió
La aplicación para realizar pagos Mobikwik sufrió, según un investigador en seguridad, una filtración de datos que incluyeron los datos de más de 3,5 millones de usuarios se pusieron a la venta en la dark web. El investigador afirma que información sensible de 3,5 millones de usuarios se subieron a la dark web para su venta incluyendo detalles de KYC (know your client), dirección de correo electrónico, dirección postal, número de teléfono, tarjeta Aadhard y otros detalles.
Esta filtración de datos de Mobikwik es la mayor hasta la fecha de KYC. Los datos recabados por los delincuentes se venden por 1,5 bitcoins . Puedes ver la cotización de bitcoins en esta web https://es.investing.com/crypto/bitcoin?cid=1057388.
Mobikwik negando la evidencia
En el blog de la compañía no existe ninguna entrada que comente este incidente aunque la noticia saltó a inicio de marzo de 2021. La respuesta de la compañía solo incluyen varios desafortunados tweets:
En el primero comenta que “Un supuesto investigador de seguridad loco de los medios (de comunicación) ha presentado repetidamente durante la última semana archivos inventados que hacen perder un tiempo precioso de nuestra organización mientras intenta desesperadamente captar la atención de los medios. Investigamos a fondo sus acusaciones y no encontramos ningún fallo de seguridad.“.
En el segundo tweet comenta “Los datos de nuestros usuarios y empresas están completamente seguros y protegidos. Los diversos archivos de texto de muestra que se han estado mostrando no prueban nada. Cualquiera puede crear dichos archivos de texto para acosar falsamente a cualquier empresa.“.
Nunca es buena idea comportarse como estos tweets de la cuenta de @MobiKwik.
Cuales son las evidencias contra Mobikwik.
Existen muchos tweets de personas que se han molestado en buscar sus datos en la dark web y efectivamente están ahí. Estas personas, no se puede afirmar que estén diciendo la verdad o sean cuentas creadas para transmitir información falsa. Sin embargo, debido al gran número de comentarios hace pensar que sí que son auténticos clientes o ex-clientes de Mobikwik.
La dark web no está en Google. No la busques, no la vas a encontrar. No se indexa en ningún buscados. Para llegar a ella necesitas una serie de pasos y entiendo que algunas de las personas han accedido a ella y han visto sus datos expuestos. De ahí su preocupación. Además los propios delincuentes han creado una página web para que los usuarios puedan buscarse en los datos de la filtración:
Además una evidencia es intentar buscar en google “mobikwik data breach” y verás que hay abundante información sobre el caso. Entre una empresa que dice que no tiene constancia de nada y hecha la culpa al investigador y las evidencias… yo me fio de las evidencias.
Qué debería hacer la compañía
En primer lugar, tienes que emitir un comunicado para informar que has sufrido una filtración y si no es así, tienes que aportar pruebas sufientes para demostrar que lo que un investigador de seguridad ha dicho no es cierto. Una auditoria por una compañía externa es necesario que se haga.
Si emites un comunicado no debe ser prepotente y echar balones fuera. Tus datos son tu responsabilidad y tienes que velar para que no se filtren. Si tienes noticia de que ha ocurrido una filtración tienes que buscar en el registro de tu base de datos por si es cierta. No puedes afirmar que todo está bien y los datos están seguros. La seguridad al 100% no es posible y si esta compañía afirma que sí está mintiendo.
Actualización 30 de marzo 2021
La empresa he emitido en su blog un comunicado reconociendo que oes posible que haya habido una filtracion de los datos y que va a ordenar una autoria externa para comprobarlo. Puedes encontrar la información en este tweet o en el enlace al blog más abajo.
https://blog.mobikwik.com/message-from-the-company/
Referencias
- https://www.thehindubusinessline.com/info-tech/data-of-35-m-mobikwik-users-allegedly-hacked/article34192591.ece
- https://twitter.com/troyhunt/status/1376656147218800641
- https://www.indiatoday.in/technology/news/story/mobikwik-data-breach-said-to-be-largest-kyc-leak-personal-data-of-3-5-million-users-up-for-sale-on-dark-web-1784957-2021-03-30
- https://timesofindia.indiatimes.com/business/india-business/mobikwik-denies-data-breach-of-3-5-million-users-amid-ipo-plans/articleshow/81752988.cms
[…] en la montaña de datos en el que vivimos hoy en día. En esta página he hablado de varias como Mobikwik filtración de datos y su equivocada respuesta o Gab.com comprometió los datos de sus […]