Los datos personales de 2.1 millones de registros de Librería Porrúa fueron expuestos en internet sin contraseñas y luego vulnerados por hackers, reveló una investigación conjunta del experto en ciberseguridad Bob Diachenko y el sitio Comparitech.

Los datos que fueron sustraídos de Librería Porrúa incluían registros de compra, información de contacto de los usuarios, números de tarjetas de crédito y otros datos personales de sus clientes. Se trata de la vulneración de dos bases de datos, de acuerdo con la investigación publicada este jueves en Comparitech.

Hackers lograron acceder a estas dos bases de datos que estaban indexadas en el motor de búsqueda Shodan.io. La información pudo ser accedida a través de dos direcciones IP que se encontraban sin ninguna protección, no necesitaban contraseña ni autentificación y lo que facilitó aún más su localizacón.

De acuerdo con la investigación, la información se indexó el 14 de julio de 2019 y un día después los investigadores notificaron a la librería sobre la filtración.

Tres días después el contenido de esas bases de datos fue borrado y reemplazado por un mensaje que indicaba que hackers habían robado la información y demandaban un rescate en de 0.005 bitcoins, o 500 dólares apróximadamente. Los investigadores no pudieron corroborar si Librería Porrúa realizó el pago del rescate. El 19 de julio de 2019, el acceso público a la base de datos original y clonada se desactivó.

El Economista contactó a Libería Porrúa para solicitar comentarios sobre la filtración, pero al momento de publicar este artículo no se había recibido una respuesta.

Diachenko ha estado involucrado en el descubrimiento de otras bases de datos con información personal de mexicanos, como en las filtraciones de la proveedora de servicios de imagenología Hova Health en Michoacán, la startup de contabilidad Enconta y la consultora internacional KPMG.

La información expuesta

La primer base de datos que fue expuesta contenía la información de 1.2 millones de registros y los siguientes datos:

  • Nombre completo del cliente
  • Facturas con detalles de compra
  • Clave de identificación del carrito de compras
  • Información de tarjeta de pago
  • Códigos de activación y tokens
  • Dirección de correo electrónico
  • Domicilio de envío
  • Número telefónico

La segunda base de datos contenía los datos personales de 985,000 registros de Librería Porrúa, incluyendo:

  • Nombre completo
  • Número de identificación del cliente
  • Fecha de nacimiento
  • Dirección de correo electrónico
  • Número teléfonico
  • Tokens de usuarios
  • Códigos de activación de tarjetas de descuento
  • Fechas de activación de tarjetas de descuento

La investigación concluye que no se sabe si la información sustraída esté asegurada, ya que los hackers aún pueden tener una copia de respaldo. 

Librería Porrúa asegura en su sitio web, para incentivar la venta digital de su inventario, que cuenta con un certificado SSL que permite encriptar información para intercambiar de manera segura los datos de los usuarios y proteger “el intercambio de información sensible (como usuario, contraseñas, etc.)”. Los certificados SSL, que se muestran con un candado en la barra de direcciones del navegador, protegen la información que se comparte con un sitio web; su alcance no llega a las bases de datos administradas por los proveedores, donde se trabaja con otros métodos de protección.

Librería de Porrúa Hermanos y Cía. S.A de C.V. fue fundada en 1900 y cuenta actualmente con más de 75 sucursales en México.

(Con información de Rodrigo Riquelme)

[email protected]