Hackeo en Amazon días antes del Black Friday
La millonaria empresa desconoce las causas de la situación
Amazon ha sufrido un incidente de seguridad en sus sistemas de administración de datos, acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, se desconoce si la compañía ya ha notificado a las autoridades la situación, además se desconocen las causas del incidente o cualquier detalle técnico relacionado.
Múltiples usuarios del sitio de ventas por Internet han reportado que el sitio ha divulgado inadvertidamente sus nombres y dirección de correo electrónico debido a un error técnico. El aviso de seguridad de Amazon, que al final incluía un enlace HTTP a su sitio web , menciona:
“Hola:
Nos comunicamos con usted para informarle que nuestro sitio web reveló inadvertidamente su nombre y dirección email debido a un error técnico. El problema ha sido solucionado. Esto no es el resultado de ninguna acción del usuario, y no es necesario que cambie su contraseña ni realice ninguna otra acción.
Atentamente: Servicio al Cliente de Amazon.”
La oficina de prensa de Amazon en el Reino Unido reconoció que este mensaje es genuino y añadió: “Hemos solucionado el problema e informado a los clientes que podrían haber sido afectados”, reportan medios especializados en ciberseguridad y forense digital.
La compañía no respondió a los cuestionamientos sobre la cantidad de clientes afectados, si es que la Oficina del Comisionado de Información (ICO) ya ha sido notificada, las posibles causas del incidente, o cuándo fue detectado.
Mientras tanto, usuarios de Twitter de todo el mundo continúan preguntándose si la información que recibieron de Amazon vía email es legítima o si se encuentran expuestos a una posible campaña de phishing.
“El comunicado de Amazon no parece legítimo, incluso contiene un enlace completamente innecesario en la parte final del mensaje”, publicó en un tweet Drew Alden, uno de los usuarios que recibió el email de la empresa.
La empresa se ha limitado a mencionar que este incidente no se trata de un robo de datos, afirmando que se trata simplemente de un error técnico, y que la notificación a los usuarios se ha llevado a cabo de la manera más discreta posible. Por su parte, la ICO no ha emitido ninguna declaración aún.
Según reportan especialistas en forense digital y seguridad informática, bajo la GDPR, las organizaciones deben evaluar si se debe informar un incidente a la ICO, o al organismo de supervisión equivalente en cada país. Siempre es responsabilidad de la empresa identificar cuándo un ciudadano de la UE se ha visto afectado como parte de una violación de datos y tomar medidas para mitigar los riesgos para los consumidores.
Hubo también una falla en la comunicación interna de la empresa, ya que el departamento de servicio al cliente de Amazon pensó inicialmente que el propio correo electrónico de notificación a los clientes afectados era un intento de phishing. Uno de los usuarios afectados envió este mensaje a los servicios de atención al cliente de Amazon preguntando si era real, y obtuvo una respuesta errónea: “El correo electrónico que recibió no es de Amazon.co.uk, y estamos investigando la situación… Desconocemos la forma en la que los autores de esta campaña de phishing accedieron a su correo”.
Extraído de: noticiasseguridad