Best Buy, Delta y Sears, hackeados
Un malware afectó un servicio de chat proveído por la firma [24]7.ai., y se produjo el robo de datos en las empresas
La falta de ciberseguridad en algunas empresas sigue afectando a sus usuarios. Esta mañana se dio a conocer que Best Buy, Delta y Sears fueron vulnerados por un ataque informático, y la información de sus usuarios ha sido robada.
Las compañías alertaron que si una persona compró en línea productos electrónicos de Best Buy, boletos de avión de Delta, productos en Sears o electrodomésticos de Kmart entre el 26 de septiembre y el 12 de octubre de 2017, es posible que su nombre, dirección y número de tarjeta de crédito hayan quedado expuestos y robados por ciberdelincuentes.
Al parecer, la información no se robó mediante las bases de datos de las compañías afectadas, sino que un tipo de malware apareció en el servicio de chat en línea a través del que se pudo adquirir la información de pago de los usuarios al finalizar alguna transacción. El servicio de chat fue proveído por el tercero, la firma [24]7.ai.
Incluso, se ha señalado que aunque los clientes de estas empresas no hayan utilizado el servicio de chat, podría haber sido afecto.
“Es posible que se haya accedido la información de cualquier consumidor que haya ingresado sus datos de pago en Delta.com entre el 26 de septiembre y el 12 de octubre”, dijo Delta en un comunicado.
Por su parte, Best Buy dijo que descubrió y arregló la intrusión indebida en octubre, y que el ataque tal vez expuso los nombres, direcciones, números de tarjetas de crédito, códigos de seguridad y fechas de expiración de las tarjetas de los clientes.
Sears Holdings, la matriz de Kmart, calcula que en su caso hay menos de 100 mil consumidores afectados por la infracción.
¿Más afectados?
No está claro si otras compañías fueron afectadas. Un artículo sobre [24]7.ai de enero pasado incluía una lista de posible clientes, entre ellos American Express, AT&T, Best Buy, Citi, eBay, Farmers Insurance y los hoteles Hilton.
Una portavoz de [24]7.ai se rehusó a dar comentarios a la prensa estadunidense citando acuerdos de confidencialidad.
Sin embargo, en un comunicado de prensa, [24]7.ai dijo que el problema sólo afectó a un número “reducido de nuestras compañías clientes” y que la vulnerabilidad se arregló el 12 de octubre.
Las empresas dieron a conocer que avisarán a los clientes afectados, y que no se cobrará a los afectados si se hace un mal uso de sus datos.