Una fuga de datos de la cadena Cineplanet, alojados en un servidor Microsoft Azure, se registró recientemente. La información confidencial de miles de usuarios peruanos que quedó expuesta incluía nombres completos, números de DNI, direcciones de correo electrónico, direcciones completas, detalles de estado civil e incluso de su estilo de vida.
Según desveló el equipo de investigación de Safety Detectives, dirigido por Anurag Sen, la base de datos también expuso números de tarjeta de crédito parcial (primeros cuatro y últimos cuatro dígitos), los cuales pese a no estar completos “aún pueden provocar robo de identidad y fraude al proporcionar información necesaria para el restablecimiento de contraseñas, que también puede conducir a adquisiciones de cuentas y acceso a datos personales adicionales".
La información sobre los miembros del programa de fidelidad de la cadena de cine también quedó expuesta. No existen todavía indicios de que hackers maliciosos hayan accedido a estos datos, pero es algo que no se puede descartar, dio a conocer esta mañana CNET, site web al que Safety Detectives compartió su investigación.
Así también, de acuerdo al informe detallado por los investigadores a cargo, la utilización de la información técnica combinado con la información personal y/o el historial de visualización de películas, es factible para que ataques de phishing y el malware sean más efectivos.
En total, se trata de aproximadamente 14 millones de registros de inicio de sesión y, más de 205 millones de registros de datos. La fuga se cerró el pasado 23 de enero de 2020. La base de datos almacenó registros durante el periodo de un mes.
Respuesta de Cineplanet
Gestión se comunicó con Cineplanet. Su representante de marketing, Verónica Vallarino, reconoció que la filtración obedeció a una “brecha de seguridad que, apenas fue encontrada el día 23 de enero, se cerró”.
Señaló, asimismo, que en estos momentos la cadena de cine está llevando a cabo un “proceso de investigación para determinar el alcance y, por ende, qué datos exactamente se habrían filtrado”. No obstante, reconoció que los datos eran alojados en un “servidor público”.