(https://i.postimg.cc/nrwc36fW/Leak.png) (https://postimages.org/)
MyQRcode, un popular sitio web generador de códigos QR con sede en Sofía, Bulgaria, está filtrando los datos personales de sus usuarios. La brecha de seguridad o fuga de datos ha resultado en la fuga de más de 128 GB de datos, incluida la información personal de 66 000 clientes.
La fuga fue causada por una configuración incorrecta, lo que hizo que el servidor fuera accesible al público sin ninguna autenticación de seguridad o contraseña. Lo que es peor, también se observó que los datos se actualizaban activamente con nuevos registros cada día, lo que indica que la fuga aún estaba en curso.
Hasta el momento, el número total de clientes afectados era de 65 000; sin embargo, según pasa el tiempo, el número ha aumentado a 67,000, lo que significa que la filtración continúa.
Por otro lado, los datos filtrados incluyen credenciales personales y de inicio de sesión de los clientes de My QR Code, incluida la siguiente información:
Nombres completos
Título profesional
Correos electrónicos
hashes de contraseña
URL a códigos QR
Números de teléfono
Direcciones físicas
Números de teléfono alternativos
Enlaces a perfiles de redes sociales
Estados, códigos postales y país
Enlaces a sitios web personales, comerciales o de la empresa de los usuarios.
El investigador de seguridad Anurag Sen informó en exclusiva sobre la filtración a Hackread.com. Sen descubrió el servidor en Shodan mientras buscaba bases de datos en la nube mal configuradas.
Para su información, Shodan es una herramienta OSINT y un motor de búsqueda especializado que utilizan los investigadores de seguridad cibernética para ubicar dispositivos vulnerables de Internet de las cosas (IoT), incluidos servidores y bases de datos mal configuradas en Internet.
Esta fuga puede tener graves consecuencias para los clientes afectados. Los ciberdelincuentes y los estafadores pueden potencialmente usar los datos filtrados para llevar a cabo robos de identidad, ataques de phishing o delitos físicos, ya que las direcciones de los usuarios son parte de la filtración.
Aquí, vale la pena señalar que el servidor ha estado mal configurado desde el 4 de febrero de 2023. MyQRcode fue informado sobre la filtración la semana pasada, pero la compañía no respondió ni emitió una declaración al respecto. Tampoco está claro cuánto tiempo se ha dejado el servidor desprotegido o si un tercero ha accedido a él con malas intenciones.
Mientras tanto, se aconseja a los clientes que han usado MyQRcode para generar códigos QR que estén atentos a cualquier actividad sospechosa en sus cuentas y que controlen de cerca su información personal. También se recomienda que cambien sus contraseñas y habiliten la autenticación de dos factores siempre que sea posible.
MyQRcode y RGPD
El Reglamento General de Protección de Datos en Europa (GDPR) se aplica a Bulgaria, ya que el país es uno de los 27 estados miembros de la Unión Europea. El RGPD se implementa en Bulgaria a través de la Ley de Protección de Datos Personales (PDPA).
Según el RGPD, las multas por filtraciones de datos y otras infracciones del reglamento pueden ser de hasta 20 millones de euros o el 4 % de los ingresos anuales globales de una empresa, lo que sea mayor. En 2019, la Comisión para la Protección de Datos Personales emitió una multa de BGN 5,1 millones ($ 2,790,392) a la Agencia Nacional de Ingresos del país por violaciones del RGPD.
Sin embargo, el incidente destaca una vez más la importancia de las medidas de ciberseguridad adecuadas, particularmente en un mundo digital donde cada vez más datos personales se almacenan en línea.
Las empresas deben tomar todas las medidas posibles para garantizar la seguridad de los datos de sus clientes, y el no hacerlo podría tener graves consecuencias para todos los involucrados.
Fuente:
HackRead
https://www.hackread.com/qr-code-generator-my-qr-code-data-leak/