Datos privados de clientes de Alkomprar estuvieron expuestos en internet sin restricción alguna

Se dio a conocer un nuevo fallo de ciberseguridad por parte de un comercio en Colombia. Datos de clientes que pidieron prestamos al almacén Alkomprar estuvieron expuestos a través de un link sin ninguna restricción.

Según el blog MuchoHacker, en una sección del sitio web desde donde los clientes pueden pedir préstamos se encontraron más de 50.000 documentos con información privada de cerca de 15.000 personas.

El hallazgo lo hizo un usuario en Twitter, quien se comunicó con el sitio para alertar de la situación, ya que no se trataba de algún ciberataque, sino de una falla de seguridad en la plataforma y no se sabe desde cuándo se está presentando.

Te puede interesar: Cuánto tarda un ciberdelincuente en adivinar la contraseña de mi correo o redes

Este almacén ofrece a sus clientes una opción de préstamos para comprar los productos que vende allí, para eso la persona debe hacer un trámite con el comercio, entregando información personal y firmando acuerdos para legalizar la deuda, pagos y demás.

La solicitud se hace en la tienda o en línea a través de una plataforma propia del establecimiento, que es la que presenta la vulnerabilidad, ya que cualquiera puede acceder a esta información.

La investigación encontró datos como números de cédula, contratos para el acuerdo del préstamo y fotografías de los clientes, que son parte del proceso de legalización. Todo esto condensado en un documento PDF de libre acceso.

En los contratos hallados había más información personal, porque son formularios donde las personas ponen correo, fecha de nacimiento, ciudad de residencias, teléfonos, actividad económica, tipo de contrato, empresa donde trabaja, cargo, los ingresos y los egresos mensuales.

Pero además de los clientes, la información de los analistas de la compañía también está expuesta con horarios de entrada y salida de su trabajo, con un resumen de las horas laboradas, pausas de trabajo, hora de almuerzo, entre otros.

En total, el sitio web da acceso a más de 30.000 datos personales, incluidas las fotografías, bitácoras de trabajo y detalles de los clientes. Estos podrían ser usados para ingresar al perfil de cada uno y conocer más sobre el préstamo con la tienda o sacarles provecho para otros delitos fuera de la plataforma.

El comercio aseguró que se encuentra investigando la situación, para tomar las medidas necesarias y corregir el fallo, además de informar a las autoridades competentes para encontrar los responsables de la vulnerabilidad.

Alkomprar dijo a Infobae:

“Desde el momento que se recibió la notificación, la compañía realizó el respectivo análisis de la situación tomando los correctivos necesarios. A la fecha, la información y los datos se encuentran seguros y no son de carácter público”.

Te puede interesar: Quienes tengan Windows 7 y Windows 8 serán vulnerables a ciberataques

Este es el segundo caso de este tipo que se conoce en el país en lo que va de 2023. Hace poco también se presentó un fallo con Keralty, la empresa dueña de la EPS Sanitas, que presenta una vulnerabilidad con los datos de sus usuarios, dejándolos libres en internet sin ninguna protección.

Solo basta con ingresar al link, que por seguridad de los afectados no compartimos, para acceder a todo el paquete de contenido, que pertenece a la documentación que las personas deben entregar a la entidad de salud para afiliarse a la entidad de salud.

El tipo de archivos alojados son cédulas de ciudadanía y registros civiles escaneados, formularios de afiliación y contratos de trabajo, todos en alta calidad de imagen, ya que así se necesitan para los trámites internos de la empresa.

Bob Diachenko fue el analista que descubrió este fallo y encontró un total de 999.941 documentos exhibidos, pero la cifra podría ser mayor, teniendo en cuenta que Sanitas tiene 4.74 millones de afiliados en Colombia y a que el Grupo Keralty maneja muchas más entidades como Colsanitas, Medisanitas y Fundación Universitaria Sanitas.

Seguir leyendo: