Fuga masiva de datos en Verifications.io
Esta mañana me he despertado con este email en mi inbox.
Para los que no lo uséis, “Have I been pwned?” es un servicio gratuito gestionado por Troy Hunt, un empleado de Microsoft en Australia que se dedica a investigar cada vez que hay un incidente de seguridad resultando en fuga de datos masiva. Troy mantiene una base de datos en la que puedes comprobar, tecleando tu dirección de email, si tus datos están incluidos en algun “dump” de algún incidente. Además te permite registrarte para notificarte por email si alguna vez sucede.
Como ha pasado hoy.
¿Qué sabemos de “verifications.io”?
Parece ser que es una empresa que se dedica a coleccionar direcciones de email y datos personales para validarlas (es decir, averiguar si los datos son correctos), y luego usarlas en campañas de publicidad por email.
Esta empresa tenía una base de datos MongoDB accesible desde internet. MongoDB es un software de base de datos no relacional que es tristemente famoso por no implementar ninguna medida de seguridad POR DEFECTO, como ya advirtió Chris Wysopal hace unos años.
¿Cuál es el impacto?
El número estimado de registros expuestos a internet parece que va más allá de los 763 millones que menciona Troy Hunt. Según varias fuentes, la cifra real podría llegar a los 2.000 millones de registros.
Una cosa importante es que los datos no han sido “hackeados”, sino que estaban expuestos a internet y han sido descubiertos por investigadores de seguridad. La empresa, una vez notificada, ha cerrado el acceso a los datos. El problema es que no se sabe exactamente cuánto tiempo han estado los datos expuestos y si alguien con malas intenciones ha tenido acceso.
Forbes reporta que los datos filtrados incluyen datos personales como el email, nombre completo, lugar de trabajo, teléfono, dirección, género, fechas de nacimiento, cuentas de redes sociales asociadas a la dirección de email, hipotecas, etc. Estos datos pueden ser utilizados para estafas de todo tipo, suplantación de identidad en redes sociales, etc.
¿Un nuevo Equifax?
La verdad es que poco podemos hacer, como usuarios. Verifications.io no es un servicio en el que te puedas dar de baja o acceder a tus datos. Ni siquiera te puedes dar de alta.
Pasa un poco como con el hackeo similar a Equifax, empresa que almacena datos de cientos de millones de personas, sobre todo el EEUU y Reino Unido, y gestiona servicios de rating de crédito (son los que le dicen a tu banco si eres de fiar o no a la hora de pedir un crédito de cualquier tipo). Equifax es quién gestiona el registro de morosos de ASNEF en España.
NADIE proporciona sus datos directamente a Equifax. Al igual que nadie proporciona sus datos voluntariamente a brokers de datos sin escrúpulos como Verifications.io.
Implicaciones legales
Ahora toca saber qué empresas han utilizado a Verifications.io para validación y limpieza de sus datos. Bajo el nuevo RGPD, empresas como Verifications.io son claramente “procesadores de datos” encargados por los “controladores de datos” (la empresa con la que contratas un servicio) para el tratamiento de datos de carácter personal. Tanto controladores como procesadores tienen obligaciones según el reglamento, y aquí habrá que dilucidar si las condiciones de consentimiento informado y ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los usuarios son respetados.
Mi opinión: esta gente se pasa el RGPD por el forro. Y cualquier empresa sujeta al reglamento que haya utilizado sus servicios debería responder ante sus usuarios y clientes, al menos notificando la fuga de datos.
