CINGAPURA – Cerca de 62.000 e-mails do p√ļblico, empresas e clientes da empresa de seguran√ßa local Certis, alguns contendo NRIC e n√ļmeros de cart√£o de cr√©dito, podem ter sido acessados ‚Äč‚Äčpor criminosos cibern√©ticos, disse a empresa na sexta-feira (9 de abril).

Esto incluye a los clientes del servicio de bóveda de Certis. Todos los correos electrónicos provienen de una cuenta de servicio al cliente propiedad de la empresa, customerservice@certisgroup.com

La Comisión de Protección de Datos Personales (PDPC) dijo que está investigando el asunto.

El incidente es la segunda filtración de datos reciente reportada en una semana.

El lunes se dio a conocer que los datos personales de unas 30.000 personas que utilizaron los servicios del Instituto Nacional de Empleo y Empleabilidad (e2i) pudieron haber sido expuestos a piratas inform√°ticos.

Anteriormente, el minorista local de muebles Vhive dijo que su servidor fue pirateado el 23 de marzo. Esto resultó en la filtración en línea de los datos personales de los clientes.

Certis dijo el viernes que comenz√≥ a escanear todos los correos electr√≥nicos para verificar datos personales que podr√≠an haber estado expuestos a delincuentes; de los que se han hecho hasta ahora, algunos contienen informaci√≥n como NRIC y n√ļmeros de tarjetas de cr√©dito.

La compa√Ī√≠a dijo que fue alertada sobre el incidente despu√©s de que varias personas recibieron correos electr√≥nicos de phishing desde una cuenta de correo electr√≥nico presuntamente de Certis. Los correos electr√≥nicos se enviaron entre el 16 y el 17 de marzo.

Aunque es posible que los piratas informáticos hayan accedido a los correos electrónicos, la base de datos de clientes de Certis, almacenada en otro lugar, no se vio afectada.

¬ęNuestro equipo de TI realiz√≥ de inmediato una investigaci√≥n y pudimos concluir que se trata de un incidente aislado¬Ľ, dijo Certis en un comunicado.

¬ęLos correos electr√≥nicos de suplantaci√≥n de identidad no se originaron en nuestra cuenta de correo electr√≥nico de servicio al cliente en la nube de Microsoft Office 365 y ninguna base de datos de clientes se ha visto comprometida¬Ľ.

Microsoft Office 365 es un conjunto de herramientas de productividad en línea basadas en suscripción, como procesamiento de texto y correo electrónico.

Sin embargo, investigaciones posteriores encontraron que hubo acceso no autorizado a la cuenta de correo electrónico de Certis.

‚ÄúNuestro equipo de TI tom√≥ medidas urgentes para fortalecer nuestros procesos de autenticaci√≥n y escanear las computadoras afectadas. No se detect√≥ ning√ļn otro acceso no autorizado ‚ÄĚ, dijo la empresa.

Los pasos incluyen aumentar la frecuencia de cambio de contrase√Īas e implementar la autenticaci√≥n de dos factores.

La firma de seguridad dijo que las investigaciones también revelaron que los correos electrónicos de phishing podrían ser parte de un ataque de phishing más amplio dirigido a las cuentas de correo electrónico de Microsoft Office 365.

La compa√Ī√≠a pidi√≥ a expertos externos en ciberseguridad que investiguen y eval√ļen el impacto en las personas afectadas.

Está trabajando con empresas de ciberseguridad para implementar más medidas para evitar que vuelva a ocurrir un incidente similar y también reforzará la formación en ciberseguridad para los empleados.

Los empleados de Certis deben completar la capacitación obligatoria en ciberseguridad anualmente, incluido un módulo sobre cómo identificar correos electrónicos de phishing.

La compa√Ī√≠a hizo p√ļblico el incidente solo ahora porque la complejidad de las investigaciones significaba que ¬ętom√≥ tiempo investigar la naturaleza del incidente y evaluar el impacto en las personas afectadas¬Ľ, dijo.

Certis agregó que, como precaución, está advirtiendo progresivamente a las personas afectadas que pueden estar en riesgo.

La compa√Ī√≠a tambi√©n ha contratado los servicios de un proveedor de monitoreo de robo de identidad para ayudar a alertar a las personas afectadas cuando se detecta un posible uso indebido de sus datos personales durante un a√Īo. Esto se les proporciona sin costo alguno.

Certis ha asegurado a sus clientes seguros que existen sistemas de seguridad y controles para evitar cualquier acceso no autorizado a las cajas fuertes. Por ejemplo, acceder a las cajas requiere verificación de identidad con foto y acceso con dos llaves.

Con respecto a la cuenta de correo electrónico customerservice@certisgroup.com, Certis dijo que es seguro enviar o recibir correos electrónicos desde esta cuenta siguiendo los pasos dados.

Al disculparse por el incidente, el Sr. Ronald Poon, director ejecutivo de Certis para Singapur, dijo: ¬ęNuestro sistema de correo electr√≥nico se someter√° a un an√°lisis m√°s detallado para mitigar las vulnerabilidades y mejorar la protecci√≥n de nuestros datos y de nuestros clientes … Nuestras operaciones permanecen seguras y no se ven afectadas . ¬ę

El Dr. Stas Protassov, cofundador y presidente de tecnología de la empresa de seguridad cibernética Acronis, dijo que las personas afectadas deben tener cuidado con cualquier correo electrónico sospechoso, especialmente aquellos que afirman ser de Certis, debido a los mayores riesgos que enfrentan al recibir mensajes maliciosos personalizados. correos electrónicos -mails.

¬ęComo es posible que se hayan robado algunos detalles de la tarjeta de cr√©dito, (las personas) tambi√©n deben monitorear cuidadosamente los registros de transacciones en las pr√≥ximas semanas¬Ľ, agreg√≥.

Con respecto al motivo de una serie reciente de violaciones de datos, el Dr. Protassov dijo que a medida que avanza la transformación digital, se recopilan y distribuyen más datos en más plataformas, sin la supervisión adecuada.

A√Īadi√≥ que las empresas est√°n mejorando en la detecci√≥n de infracciones, pero no mejor en su prevenci√≥n. Otra posible raz√≥n por la que se informan m√°s violaciones de datos tiene que ver con las regulaciones, dijo.

Los cambios en la protecci√≥n de datos personales que comenzaron el 1 de febrero requieren que una violaci√≥n de datos sea reportada a la PDPC si representa un riesgo de da√Īo significativo, o si la violaci√≥n est√° relacionada con los datos personales de 500 o m√°s personas, se√Īal√≥ el dato. bufete de abogados Pinsent Masons MPillay.

¬ęA√ļn as√≠, muchas empresas todav√≠a no est√°n protegiendo los datos en su infraestructura tan bien como podr√≠an, un √°rea que todas las empresas deber√≠an apuntar a mejorar este a√Īo¬Ľ, dijo el Dr. Protassov.

El martes, la Agencia de Seguridad Cibern√©tica de Singapur recomend√≥ a las personas que permanezcan atentas a posibles campa√Īas de phishing y que tomen medidas para proteger sus cuentas en l√≠nea, a ra√≠z de las filtraciones de datos recientemente informadas en Facebook, Vhive y e2i.

¬ęSe aconseja a las empresas que tomen las medidas de seguridad cibern√©tica adecuadas para proteger su infraestructura y sus datos a fin de reducir el riesgo y el impacto de una violaci√≥n de datos¬Ľ, dijo CSA en una publicaci√≥n de Facebook.

Aquellos que tengan preguntas y necesiten ayuda pueden comunicarse con Certis en ITinvestigation @ certisgroup.com o llamar a la compa√Ī√≠a al 6747-2888.

Nuestra puntuación
¬°Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)