SINGAPUR – La información personal de 1,1 millones de cuentas de usuario de RedMart fue robada de una base de datos de clientes y se puso a la venta en un foro en línea.
Un portavoz del gigante del comercio electrónico Lazada, propietario de la tienda de comestibles electrónica Redmart, confirmó la violación de datos el viernes (30 de octubre) y dijo que la información personal robada incluía nombres, números de teléfono, direcciones de correo electrónico, direcciones. correspondencia, contraseñas cifradas y números parciales de tarjetas de crédito.
La empresa está en proceso de llegar a los clientes afectados.
“Nuestro equipo de ciberseguridad descubrió a una persona que afirma estar en posesión de una base de datos de clientes de RedMart obtenida de un sistema de RedMart heredado que la empresa ya no utiliza”, dijo el portavoz.
“Esta información exclusiva de RedMart ha estado desactualizada durante más de 18 meses y no está vinculada a ninguna base de datos de Lazada”.
En una notificación enviada a los usuarios afectados por correo electrónico y publicada en su sitio web, Lazada dijo que la infracción se descubrió el jueves como parte de un “monitoreo proactivo” y enfatizó que “los datos actuales del cliente” no se ven afectados por violación.
En una notificación por correo electrónico enviada a los clientes afectados, Lazada dijo que descubrió la brecha de seguridad el 29 de octubre como parte de su monitoreo de rutina. FOTO: ST READER
La compañía también tomó medidas para bloquear el acceso no autorizado a la base de datos e informó a la Comisión de Protección de Datos Personales (PDPC) de la violación.
Un portavoz del PDPC dijo que la comisión estaba al tanto del incidente y que actualmente está investigando.
Como medida de seguridad, Lazada desconectó a todos los clientes afectados de sus cuentas existentes.
Cuando estos clientes inicien sesión, se les pedirá que creen una nueva contraseña. También se aconsejó a los clientes que cambiaran sus contraseñas con frecuencia.
Lazada también advirtió a los clientes que estén atentos a los correos electrónicos de phishing, en los que los estafadores solicitan información confidencial pretendiendo ser de Lazada.
“Lazada no pide a los clientes que verifiquen su información personal”, dijo la empresa en la notificación.
La violación probablemente se debió a que una base de datos insegura en Magento, una plataforma de pago minorista en línea comúnmente utilizada, estuvo expuesta a Internet sin la autenticación adecuada, dijo Stas Protassov, cofundador y presidente de la compañía de seguridad cibernética Acronis.
“Aunque las muestras de datos proporcionadas por los atacantes son de 2019, aún se pueden usar para crear ataques de phishing personalizados o incluso (descifrar) contraseñas (cifradas) para futuros ataques”, agregó Protassov.
“Por lo tanto, es esencial que los clientes cambien inmediatamente sus contraseñas y estén atentos a los correos electrónicos fraudulentos que puedan abusar de esta información en un futuro próximo”.
Nota de corrección: Una versión anterior de esta historia escribió mal el nombre del presidente de Acronis, Stas Protassov, de forma incorrecta. Lamentamos el error.