SINGAPUR – Los hackers accedieron potencialmente a los datos personales de casi 79.400 suscriptores móviles de MyRepublic aquí, dijo el viernes (10 de septiembre) el operador de telefonía móvil y el proveedor de servicios de Internet.
Este es el último incidente de una serie de ciberataques en los últimos meses.
Los datos robados eran documentos de verificación de identidad relacionados con aplicaciones de clientes para servicios móviles.
MyRepublic dijo que los piratas informáticos pueden haber accedido a datos, incluidas copias escaneadas de ambos lados de los NRIC que pertenecen a singapurenses y residentes permanentes, y otros datos laborales personales y titulares de pases dependientes.
Un NRIC contiene información que incluye nombre, fecha de nacimiento y domicilio. El número NRIC se puede utilizar para acceder a sitios web oficiales.
En cuanto a los extranjeros que son suscriptores de MyRepublic, los piratas informáticos pueden haber tomado documentos como copias escaneadas de facturas de servicios públicos que confirman su domicilio.
A los clientes que tenían un servicio móvil existente se les accedía a sus nombres y números de teléfono celular, dijo el proveedor de servicios de Internet.
Sin embargo, agregó que actualmente no hay indicios de que otros datos personales, como la información de cuenta o de pago, se hayan visto afectados.
Los sistemas MyRepublic no se vieron comprometidos y no hubo impacto operativo en los servicios MyRepublic, agregó la compañía.
Debido a que los escaneos de documentos de identidad y números de teléfonos móviles pueden haber sido robados, los clientes afectados podrían verse afectados por más mensajes de spam móviles o intentos de phishing en las próximas semanas, dijo el Dr. Stas Protassov, presidente de tecnología de la empresa de seguridad Acronis cybernetics.
Los ciberdelincuentes también pueden intentar secuestrar sus identidades.
“Yo esperaría algunos ataques de suplantación de identidad y robo de identidad que podrían hacer que las cuentas de servicio de la víctima sean tomadas”, dijo el Dr. Protassov.
Agregó que algunos delincuentes pueden incluso crear nuevas cuentas a nombre de la víctima para realizar actividades fraudulentas.
“Actualmente no se desperdician datos robados”, dijo. “Si los agentes de amenazas inmediatas no pueden beneficiarse de sus datos, se los venderán a alguien que sí pueda”.
El 29 de agosto, MyRepublic descubrió el acceso no autorizado a los datos en una plataforma de almacenamiento de datos de terceros utilizada para almacenar los datos personales de los clientes móviles.
El acceso a la instalación de almacenamiento de datos ya está asegurado, dijo el operador móvil.
Su equipo de respuesta a incidentes cibernéticos también se activó, incluido un equipo de consultores expertos externos como KPMG, para trabajar en estrecha colaboración con los equipos de red y tecnología de la información interna de MyRepublic para resolver el incidente.
MyRepublic ha notificado el problema a la Autoridad de Desarrollo de Medios de Infocomm y a la Comisión de Protección de Datos Personales.
La comisión dijo que está al tanto del incidente y se comunicó con MyRepublic para obtener más información.
Al disculparse por las molestias causadas por el incidente, el director ejecutivo de MyRepublic, Malcolm Rodrigues, dijo en un comunicado que la compañía se está acercando a los clientes y “continuará apoyando a nuestros clientes afectados en cada paso del camino para ayudarlos a lidiar con este problema”.
“También estamos revisando todos nuestros sistemas y procesos, internos y externos, para asegurarnos de que un incidente como este no vuelva a suceder”, agregó.
Si bien no hay evidencia de que ningún dato personal se haya utilizado de manera inapropiada, MyRepublic dijo que ofrecerá a todos los clientes afectados un servicio gratuito de monitoreo de crédito a través de Credit Bureau Singapore.
Bajo el servicio, la oficina monitoreará los informes crediticios de los clientes y los alertará de cualquier actividad sospechosa.
La multa máxima por una violación de datos es de $ 1 millón ahora.
Pero las empresas pronto recibirán más multas: hasta el 10% de su facturación anual en Singapur, o 1 millón de dólares, lo que sea mayor.
La multa más alta debe tener efecto durante al menos 12 meses a partir del 1 de febrero de este año.
El ataque MyRepublic se produce después de que otros operadores móviles aquí se vieron afectados por violaciones de datos.
El mes pasado, StarHub dijo que se filtraron en línea números de tarjetas de identificación, números de teléfonos celulares y direcciones de correo electrónico de unos 57.200 clientes.
En febrero, Singtel reveló que los datos personales de 129.000 de sus clientes fueron extraídos por piratas informáticos durante una violación del servicio de intercambio de archivos de Accellion, que es utilizado por la empresa de telecomunicaciones.
También se han reportado al menos tres ataques de ransomware en el último mes. Uno afectó los datos personales y la información clínica de aproximadamente 73.500 pacientes en una clínica oftalmológica privada.
La información incluía nombres, direcciones, números de tarjetas de identificación, detalles de contacto e información clínica, como notas clínicas del paciente y exámenes oculares, dijeron cirujanos de ojos y retina el 25 de agosto.
El 16 de agosto, la aseguradora Tokio Marine Insurance Singapore dijo que había sufrido un ataque de ransomware.
En ese momento, dijo que no había indicios de violación de la información del cliente y la información confidencial de Tokio Marine Group.
El 19 de agosto, The Business Times informó que la empresa de tecnología Pine Labs con sede en Singapur también fue víctima de ransomware.
La empresa es una plataforma de pago respaldada por Temasek.
Los piratas informáticos supuestamente robaron documentos confidenciales entre Pine Labs y varios bancos indios y mantuvieron la información como rehén.
El Dr. Protassov dijo que el reciente aumento en las filtraciones de datos podría deberse en parte al mayor uso de servicios digitales en medio de la pandemia, lo que resulta en la generación de más datos y bases de datos mal configuradas.
También hay más hackers ahora con más herramientas a su disposición y, al mismo tiempo, más herramientas para detectar ciberataques que llevan a que se denuncien más casos.
“A menudo, los atacantes repiten lo que funcionó en una víctima contra otros objetivos”, dijo el Dr. Protassov.
“Desarrollan un manual de ataque exitoso y lo aplican a mayor escala siempre que sea posible”.