SINGAPUR – Los datos personales de 1.355 miembros de la Sociedad Universitaria Nacional de Singapur (NUSS) fueron robados después de que el sitio web de la sociedad fuera pirateado a principios del mes pasado, dijo el NUSS el lunes (1 de noviembre).
Cuando fue interrogado por The Straits Times, el club de graduados de la universidad no dijo si los datos involucrados estaban encriptados. Pero dijo que a los miembros afectados les robaron sus números completos de NRIC.
Cuando se le preguntó si los nombres de los miembros también fueron robados, el NUSS solo dijo que se accedió a “los números del NRIC que corresponden a los nombres de 1.355 miembros”.
Algunos miembros también tuvieron acceso a una combinación de otros detalles, dijo la sociedad en un correo electrónico a los afectados el lunes por la tarde.
Esto incluía fecha de nacimiento, nacionalidad, sexo, estado civil, dirección de correo electrónico, números de teléfono personales y comerciales, dirección particular y comercial, número de registro del vehículo, detalles del título universitario y número de membresía.
Otra información potencialmente robada incluye pedidos de alimentos y bebidas, registros de eventos y restaurantes, y comentarios enviados a través del sitio web de NUSS.
Otros detalles o imágenes de NRIC, así como la información de la tarjeta de pago o la cuenta bancaria, no formaban parte de los datos a los que se tuvo acceso.
El NUSS dijo que fue alertado el 8 de octubre de que una persona desconocida en la Dark Web, el punto débil de Internet donde los piratas informáticos comercian y se comunican, afirmó estar vendiendo los datos personales de miembros de la sociedad. Los datos se tomaron del sitio web de NUSS, que fue alojado por un proveedor de alojamiento web externo.
Las investigaciones descubrieron que el hacker había llevado a cabo un ataque sofisticado en el sitio web de la sociedad el 6 y 7 de octubre y descargó algunos datos almacenados en el servidor web de NUSS. La base de datos principal no se ha visto comprometida.
El club dijo que ha retirado partes de su sitio web hasta que sean revisadas y el proveedor de alojamiento haya resuelto cualquier problema de seguridad.
La NUSS agregó que está “revisando activamente sus medidas y procesos de seguridad para asegurarse de que tal incidente no vuelva a suceder”.
El asunto fue denunciado a la Comisión de Protección de Datos Personales y a la policía.
La multa máxima por una violación de datos es de $ 1 millón. Pero las organizaciones pronto podrían recibir más multas: hasta el 10% de su facturación anual en Singapur, o $ 1 millón, lo que sea mayor. La multa más alta debe tener efecto durante al menos 12 meses a partir del 1 de febrero de este año.
Disculpándose por el acceso no autorizado a los datos, el NUSS les dijo a los miembros afectados que los delincuentes podrían hacer un mal uso de los datos robados para hacerse pasar por ellos.
Por ejemplo, los delincuentes pueden intentar abrir una cuenta bancaria u obtener una tarjeta de crédito a nombre de la víctima, redirigir su correo electrónico o llevar su número de teléfono celular.
El NUSS instó a los miembros a vigilar sus cuentas financieras para detectar actividades sospechosas, como transacciones no autorizadas y cambios en los detalles de la cuenta. También recomendó a los miembros que verifiquen con el Singapore Post que su correo electrónico se reenvió si no recibieron su correo electrónico, y que verifiquen con su compañía de telecomunicaciones que su número de teléfono móvil se transfirió a otro operador de telefonía móvil si su teléfono perdía cobertura durante mucho tiempo.
Los miembros deben notificar a los vendedores o proveedores de servicios de inmediato si reciben productos o servicios que no han solicitado, o si reciben notificaciones por ellos.
Los miembros afectados también deben tener cuidado con las personas que se comunican con ellos para solicitar sus datos o credenciales, incluso si parecen conocer otros detalles sobre ellos. Eso es porque los ciberdelincuentes pueden intentar engañar a las víctimas para que proporcionen más información, dijo NUSS.
Los delincuentes pueden intentar ponerse en contacto con los miembros por correo electrónico y mensajes SMS, o por teléfono haciéndose pasar por representantes de una autoridad o empresa gubernamental.
“Tenga cuidado con los correos electrónicos fraudulentos que también parecen ser del NUSS”, advirtió la sociedad. “Antes de responder a un correo electrónico que parece ser nuestro, asegúrese de que la respuesta se envíe a una dirección de correo electrónico genuina @ nuss.org.sg”.
El mes pasado, The Straits Times informó que los datos personales de los clientes de Fullerton Health fueron robados por piratas informáticos y filtrados en línea después de que un proveedor de un grupo de salud privado fuera violado a principios de ese mes.
Los piratas informáticos afirmaron que lograron robar los datos de unas 400.000 personas, incluidos los detalles de la póliza de seguro de Singapur.