Difundidos todos los datos personales obtenidos del ciberataque a Phone House: 113 GB con teléfonos, direcciones, DNI y más

Tras difundirse hace días los datos parciales del ciberataque a Phone House por parte de Babuk, los responsables de un ransomware del mismo nombre, han sido colgados en la Dark Web los archivos restantes, tras no pagar la compañía el rescate. Según los autores del ciberataque, con esta nueva publicación han subido 113 GB de datos correspondientes a 13 millones de clientes, según los atacantes.

Como ya contamos anteriormente, los datos filtrados contienen información tan sensible como identificadores de cliente, nombre y apellidos, DNI, algunos pasaportes, correos electrónicos (muchos de ellos repetidos y considerados falsos), números de teléfonos móvil, teléfonos fijos, fecha de nacimiento, nacionalidad, direcciones físicas, códigos postales, provincias, ciudades, etc.

Más datos que sumar a 'Have I been pwned?'

Tras la primera filtración, Troy Hunt, responsable de 'Have i been pwned?', sumó a su base de datos 5.223.350 correos electrónicos del ataque, aunque según comprobamos, los teléfonos filtrados aún no aparecían en su buscador (que tras la filtración de Facebook, ahora también permite introducirlos más allá de las direcciones de mail). Los atacantes hablan ahora de 13 millones de clientes, por lo que habrá que ver si pronto se actualiza el número de entradas reconocidas por 'Have i been pwned?'.

En uno de los últimos ficheros subidos se incluye DNI, nombre, apellido y hasta número de cuenta de más de 2,6 millones de personas con seguros contratados en The Phone House, pues hay que recordar que en sus tiendas se tramitaban muchos seguros para móviles, lo que aporta incluso más datos que los que dieran los clientes corrientes.

Individualmente, hay ficheros .DMP de 9,6 GB, 7,0 GB o 10 GB de gestión de datos. Phone House, tantos días después de que se hiciera público el ciberataque, sigue sin realizar comunicados ni informar a los medios sobre esta problemática. De acuerdo a la ley, la compañía tendría que haber comunicado a la AEPD en 72 horas tras conocer la brecha de datos. Más tarde, tendría que haber informado a los clientes afectados. De momento, seguimos esperando.

Ver todos los comentarios en https://www.genbeta.com

VER 6 Comentarios

Portada de Genbeta