Informe: Una filtración de datos de Freedom Mobile afecta hasta 1,5 millones de clientes

El equipo de investigación de vpnMentor descubrió recientemente que Freedom Mobile sufrió una enorme filtración de datos

Con los hacktivistas Noam Rotem y Ran Locar a la cabeza, los investigadores de vpnMentor descubrieron una filtración de los datos personales de 1,5 millones de usuarios activos de Freedom Mobile. Freedom Mobile, anteriormente Wind Mobile, es el cuarto mayor proveedor de comunicaciones inalámbricas de Canadá.

La base de datos estaba totalmente desprotegida y sin cifrar. Los datos filtrados incluyen números de tarjetas de crédito y códigos CVV.

Cronograma del descubrimiento de la filtración y la reacción ante la misma

• 17 de abril: Descubrimos la filtración en la base de datos de Freedom Mobile.
• 18 de abril: Informamos a Freedom Mobile de una filtración de datos grave por correo electrónico. No obtenemos respuesta.
• 23 de abril: Intentamos contactar con Freedom Mobile de nuevo.
• 24 de abril: Freedom Mobile por fin responde a los mensajes.
• 24 de abril: Freedom Mobile cierra la filtración de datos.

Ejemplos de entradas en la base de datos

De forma similar a la base de datos desprotegida Elasticsearch de Gearbest, la base de datos de Freedom Mobile ni siquiera estaba cifrada. Tuvimos acceso total a más de 5 millones de registros pertenecientes a 1,5 millones de usuarios.

Estos registros parecen reflejar cualquier acción realizada en la cuenta de un usuario, lo que puede implicar múltiples entradas por cada cliente.

Los datos personales filtrados incluyen:

• dirección de correo electrónico
• número de teléfono de casa y móvil
• direcciones de casa
• fecha de nacimiento
• tipo de cliente
• dirección IP conectada al método de pago
• números de tarjeta de crédito y códigos CVV sin cifrar
• respuestas sobre calificación crediticia de Equifax y otras corporaciones, con las razones de aceptación/rechazo

También pudimos acceder a números de cuenta, fechas de suscripción, fechas de ciclos de facturación y registros del servicio de atención al cliente, incluyendo ubicaciones.

Algunas entradas también incluían datos de la base de datos de Equifax, las cuales incluían información sobre calificación crediticia, clase de crédito y cuentas de tarjetas de crédito.

Impacto de la filtración de datos

Irónicamente, Freedom Mobile se enorgullece de ofrecer un alto nivel de privacidad. Incluso lo dice en su biografía de Twitter:

Sin embargo, la empresa claramente compartió (llegando demasiado lejos) los datos de sus clientes.

Tras descubrir la filtración de datos, avisamos rápidamente del problema a Freedom Mobile. Como la empresa no respondió inmediatamente, pedimos a algunos de nuestros contactos en otra web de seguridad que nos ayudaran a hacer llegar el mensaje en caso de que nuestros correos hubieran acabado en la carpeta de correo no deseado. Como la empresa con el tiempo respondió, sabemos que no fue el caso.

No descargamos la base de datos por razones éticas, así que no sabemos exactamente cuántas personas se vieron afectadas.

Sin embargo, pudimos acceder a más de 5 millones de registros no progregidos. Freedom Mobile tiene al menos 1,5 millones de suscriptores, y su empresa matriz es propiedad de Shaw Communications, la cual tiene más de 3,2 millones de clientes en toda Canadá; posiblemente se trate de la mayor filtración de datos de una empresa canadiense hasta la fecha.

Es poco común encontrar una filtración de datos que comprenda números de tarjetas de crédito y códigos CVV juntos, especialmente en filtraciones de esta magnitud.

Como esta filtración incluye información de tarjetas de crédito sin cifrar, Freedom Mobile podría potencialmente estar violando los reglamentos de cumplimiento de la PCI (industria de las tarjetas de pago). Esto podría tener consecuencias graves para la empresa, así como para sus usuarios.

Los peligros del pirateo informático

Una base de datos que tenga números de tarjetas de crédito, nombres completos, direcciones y números de teléfono habilita el fraude con tarjetas de crédito y el robo de identidad. Esto puede costar a los usuarios, así como a sus bancos y aseguradoras, cientos de miles de dólares.

Una base de datos de información personal sin cifrar es un recurso valioso para todo pirata informático. El acceso a direcciones, direcciones de correo electrónico, números de teléfono e información de tarjetas de crédito puede ayudar a actores maliciosos a llevar a cabo ataques de phishing (suplantación de identidad) sofisticados.

La información crediticia también puede dar lugar a ataques de ransomware específicos, ya que los malhechores saben a quién exigir un rescate elevado.

Incluso el usuario más precavido no puede defenderse de una empresa que almacena sus datos en una base de datos no protegida e insegura. Descubrimos que la mejor forma de hacerlo consiste en usar una tarjeta, número de cuenta o código CVV temporal; tienes nuestra guía completa a tu disposición si quieres más información.

Sobre nosotros e informes anteriores:

vpnMentor es la mayor web de análisis de VPNs del mundo. Nuestro laboratorio de investigación es un servicio pro bono cuyo fin es ayudar a la comunidad de Internet a defenderse de las ciberamenazas, así como enseñar a organizaciones a proteger los datos de sus usuarios.

Hace poco descubrimos una enorme filtración de datos que afectaba a 80 millones de hogares estadounidenses. También revelamos que Gearbest sufrió una filtración masiva. Tal vez te interese leer también nuestro informe de fugas de VPNs y nuestro informe de estadísticas de privacidad de datos.

Si eres tan amable, por favor, comparte este informe en Facebook o en twitter.