CINGAPURA – Cerca de 62.000 e-mails do público, empresas e clientes da empresa de segurança local Certis, alguns contendo NRIC e números de cartão de crédito, podem ter sido acessados por criminosos cibernéticos, disse a empresa na sexta-feira (9 de abril).
Esto incluye a los clientes del servicio de bóveda de Certis. Todos los correos electrónicos provienen de una cuenta de servicio al cliente propiedad de la empresa, customerservice@certisgroup.com
La Comisión de Protección de Datos Personales (PDPC) dijo que está investigando el asunto.
El incidente es la segunda filtración de datos reciente reportada en una semana.
El lunes se dio a conocer que los datos personales de unas 30.000 personas que utilizaron los servicios del Instituto Nacional de Empleo y Empleabilidad (e2i) pudieron haber sido expuestos a piratas informáticos.
Anteriormente, el minorista local de muebles Vhive dijo que su servidor fue pirateado el 23 de marzo. Esto resultó en la filtración en línea de los datos personales de los clientes.
Certis dijo el viernes que comenzó a escanear todos los correos electrónicos para verificar datos personales que podrían haber estado expuestos a delincuentes; de los que se han hecho hasta ahora, algunos contienen información como NRIC y números de tarjetas de crédito.
La compañía dijo que fue alertada sobre el incidente después de que varias personas recibieron correos electrónicos de phishing desde una cuenta de correo electrónico presuntamente de Certis. Los correos electrónicos se enviaron entre el 16 y el 17 de marzo.
Aunque es posible que los piratas informáticos hayan accedido a los correos electrónicos, la base de datos de clientes de Certis, almacenada en otro lugar, no se vio afectada.
«Nuestro equipo de TI realizó de inmediato una investigación y pudimos concluir que se trata de un incidente aislado», dijo Certis en un comunicado.
«Los correos electrónicos de suplantación de identidad no se originaron en nuestra cuenta de correo electrónico de servicio al cliente en la nube de Microsoft Office 365 y ninguna base de datos de clientes se ha visto comprometida».
Microsoft Office 365 es un conjunto de herramientas de productividad en línea basadas en suscripción, como procesamiento de texto y correo electrónico.
Sin embargo, investigaciones posteriores encontraron que hubo acceso no autorizado a la cuenta de correo electrónico de Certis.
“Nuestro equipo de TI tomó medidas urgentes para fortalecer nuestros procesos de autenticación y escanear las computadoras afectadas. No se detectó ningún otro acceso no autorizado ”, dijo la empresa.
Los pasos incluyen aumentar la frecuencia de cambio de contraseñas e implementar la autenticación de dos factores.
La firma de seguridad dijo que las investigaciones también revelaron que los correos electrónicos de phishing podrían ser parte de un ataque de phishing más amplio dirigido a las cuentas de correo electrónico de Microsoft Office 365.
La compañía pidió a expertos externos en ciberseguridad que investiguen y evalúen el impacto en las personas afectadas.
Está trabajando con empresas de ciberseguridad para implementar más medidas para evitar que vuelva a ocurrir un incidente similar y también reforzará la formación en ciberseguridad para los empleados.
Los empleados de Certis deben completar la capacitación obligatoria en ciberseguridad anualmente, incluido un módulo sobre cómo identificar correos electrónicos de phishing.
La compañía hizo público el incidente solo ahora porque la complejidad de las investigaciones significaba que «tomó tiempo investigar la naturaleza del incidente y evaluar el impacto en las personas afectadas», dijo.
Certis agregó que, como precaución, está advirtiendo progresivamente a las personas afectadas que pueden estar en riesgo.
La compañía también ha contratado los servicios de un proveedor de monitoreo de robo de identidad para ayudar a alertar a las personas afectadas cuando se detecta un posible uso indebido de sus datos personales durante un año. Esto se les proporciona sin costo alguno.
Certis ha asegurado a sus clientes seguros que existen sistemas de seguridad y controles para evitar cualquier acceso no autorizado a las cajas fuertes. Por ejemplo, acceder a las cajas requiere verificación de identidad con foto y acceso con dos llaves.
Con respecto a la cuenta de correo electrónico customerservice@certisgroup.com, Certis dijo que es seguro enviar o recibir correos electrónicos desde esta cuenta siguiendo los pasos dados.
Al disculparse por el incidente, el Sr. Ronald Poon, director ejecutivo de Certis para Singapur, dijo: «Nuestro sistema de correo electrónico se someterá a un análisis más detallado para mitigar las vulnerabilidades y mejorar la protección de nuestros datos y de nuestros clientes … Nuestras operaciones permanecen seguras y no se ven afectadas . «
El Dr. Stas Protassov, cofundador y presidente de tecnología de la empresa de seguridad cibernética Acronis, dijo que las personas afectadas deben tener cuidado con cualquier correo electrónico sospechoso, especialmente aquellos que afirman ser de Certis, debido a los mayores riesgos que enfrentan al recibir mensajes maliciosos personalizados. correos electrónicos -mails.
«Como es posible que se hayan robado algunos detalles de la tarjeta de crédito, (las personas) también deben monitorear cuidadosamente los registros de transacciones en las próximas semanas», agregó.
Con respecto al motivo de una serie reciente de violaciones de datos, el Dr. Protassov dijo que a medida que avanza la transformación digital, se recopilan y distribuyen más datos en más plataformas, sin la supervisión adecuada.
Añadió que las empresas están mejorando en la detección de infracciones, pero no mejor en su prevención. Otra posible razón por la que se informan más violaciones de datos tiene que ver con las regulaciones, dijo.
Los cambios en la protección de datos personales que comenzaron el 1 de febrero requieren que una violación de datos sea reportada a la PDPC si representa un riesgo de daño significativo, o si la violación está relacionada con los datos personales de 500 o más personas, señaló el dato. bufete de abogados Pinsent Masons MPillay.
«Aún así, muchas empresas todavía no están protegiendo los datos en su infraestructura tan bien como podrían, un área que todas las empresas deberían apuntar a mejorar este año», dijo el Dr. Protassov.
El martes, la Agencia de Seguridad Cibernética de Singapur recomendó a las personas que permanezcan atentas a posibles campañas de phishing y que tomen medidas para proteger sus cuentas en línea, a raíz de las filtraciones de datos recientemente informadas en Facebook, Vhive y e2i.
«Se aconseja a las empresas que tomen las medidas de seguridad cibernética adecuadas para proteger su infraestructura y sus datos a fin de reducir el riesgo y el impacto de una violación de datos», dijo CSA en una publicación de Facebook.
Aquellos que tengan preguntas y necesiten ayuda pueden comunicarse con Certis en ITinvestigation @ certisgroup.com o llamar a la compañía al 6747-2888.
