El servicio de entrega de pizzas Dominos India es la última víctima de una violación masiva de datos que expuso los detalles del pedido de pedidos de pizza de 18 crore realizados a través del servicio. La violación de datos, detectada por primera vez por el investigador de seguridad de Internet Rajshekhar Rajaharia (@rajaharia) incluye 130 TB de archivos de datos de empleados y detalles de clientes.
Los atacantes que son responsables de la violación también crearon una página web en la web oscura que extrae los datos de cualquiera de los detalles del pedido filtrado simplemente buscando un número de teléfono o una dirección de correo electrónico. Los datos ahora parecen estar disponibles públicamente y cualquiera puede buscarlos fácilmente. Ya no requiere un navegador como Tor o Onion.
La peor parte de esta supuesta infracción es que las personas están usando estos datos para espiar a las personas. Cualquiera puede buscar fácilmente cualquier número de teléfono móvil y puede comprobar las ubicaciones anteriores de una persona con fecha y hora. Esto parece una amenaza real para nuestra privacidad. #InfoSec #GDPR #DataLeak pic.twitter.com/5G494xJSCf
– Rajshekhar Rajaharia (@rajaharia) 22 de mayo de 2021
Actualización sobre presunto @dominos_india ¡¡Filtración de datos!!
Parece que Dominos está usando PayTM como su pasarela de pago. Es posible que no haya 1 millón de tarjetas de crédito en los datos filtrados. Si las cartas siguen ahí, es extraño y forma parte de la investigación. #InfoSec #GDPR #protección de Datos @UnderTheBreach pic.twitter.com/J5oFek3Tqe– Rajshekhar Rajaharia (@rajaharia) 20 de abril de 2021
Expreso indio verificado que los contenidos filtrados coinciden con algunas de las cuentas. Pudimos ver historiales de pedidos, detalles de direcciones, etc. de al menos tres números de teléfono móvil al buscar en la base de datos. La página en sí ha sido vista más de 5,60,500 veces al momento de escribir esta historia y tiene un recuento de búsquedas de más de 3,05,09,200 búsquedas.
¿A quiénes afecta?
Cualquier usuario que haya pedido a Dominos India a través de una llamada telefónica utilizando su número de teléfono o ID de correo electrónico podría haberse visto afectado por la filtración. Los usuarios interesados en averiguar si su número de teléfono o ID de correo electrónico ha sido parte de la infracción pueden dirigirse al enlace mencionado en el tweet anterior e ingresar su número de teléfono para verificarlo por sí mismos.
Sin embargo, tenga en cuenta que, si bien los servidores del enlace funcionan actualmente al momento de escribir esta historia, es posible que se caigan pronto para evitar una mayor propagación de la información filtrada.
¿Qué datos se han filtrado?
La información filtrada incluye los detalles de algunas transacciones que revelan la dirección de entrega del pedido, la fecha, el nombre, el número de teléfono y la identificación de correo electrónico del cliente, coordenadas precisas de latitud y longitud de la dirección, número total de transacciones y el monto total gastado en transacciones en rupias.
¿Qué dicen los expertos en seguridad?
“Las organizaciones que manejan datos de usuarios finales deberían invertir más en soluciones y prácticas de ciberseguridad que mejorarán su postura de seguridad. En el mundo digitalizado de hoy, proteger la información del cliente final es vital ”, dijo Prakash Bell, Jefe de Éxito del Cliente y Jefe de SE, India y SAARC, Check Point Software Technologies sobre la filtración.
“La implementación de soluciones tecnológicas como ZTNA, DLP, XDR y la gestión de la postura de seguridad es clave. Complementarlos con la educación de los empleados sobre el manejo de datos, la vigilancia, los estrictos controles de seguridad, los procesos y las auditorías ayudaría a crear la cultura deseada ”, agregó.