Por segunda ocasión en menos de seis meses, Librería Porrúa dejó expuestos datos personales de sus clientes. Más de 1 millón de registros que corresponden a datos de los clientes de la librería fueron encontrados en una base de datos sin ningún tipo de seguridad por el investigador Bob Diachenko.   

La base de datos expuesta en esta ocasión incluye 1 millón 18,997 registros, con datos como el nombre del cliente, su dirección, correo electrónico, teléfono y tokens de activación. Según el investigador en ciberseguridad, las bases de datos fueron protegidas 24 horas después de que alertó al equipo de tecnologías de Librería Porrúa, el pasado 9 de septiembre.     

En julio pasado, una investigación conjunta de Diachenko y el sitio Comparitech mostró que la Librería Porrúa había dejado expuesta una base de datos con 2.1 millones de registros, la cual había sido secuestrada y se exigía un rescate de 0.05 bitcoins por ella. El Economista confirmó en aquel momento que dichos registros corresponden a la información de 1.14 millones de clientes de la librería

El repositorio hallado en julio estaba conformado por dos grupos de datos, uno con 1.2 millones de registros con detalles de compras, como nombre completo del cliente, dirección de envío, número telefónico, correo electrónico, facturas con detalles de compra, identificadores de carritos de compras, información encriptada de tarjetas de pago, códigos de activación y tokens. El segundo grupo, de 958,128 registros, contenía datos personales como: identificadores de clientes, nombre completo, fecha de nacimiento, correo electrónico, teléfono, tokens de usuarios y códigos de activación de tarjetas de descuento. 

De acuerdo con Diachenko, la base de datos que encontró el 9 de septiembre incluye los mismos 958,128 registros del segundo grupo de datos hallado en la brecha de julio más 60,869 registros de nuevos clientes, lo que hace un total de 1 millón 18,997 registros expuestos. El investigador afirma en su publicación que se trata de una base de datos de producción, es decir que es utilizada por los clientes de la librería, y no es una base de desarrollo. 

“La nueva versión de la base de datos contenía aún más registros 1 millón 18,997 (en comparación con la misma colección con 958,128 registros la última vez), lo que significa que esta base de datos de producción se ha actualizado desde la exposición anterior con 60,869 nuevos usuarios”, refiere Diachenko.

La base datos expuesta más recientemente contiene el mismo mensaje de rescate que se halló en su antecesora, en el que se exige pagar 0.05 bitcoins a cambio de la información. De acuerdo con la nueva investigación, “esto podría significar que los desarrolladores sólo migraron la misma base de datos a los servidores de producción sin limpiar elementos innecesarios”, como el mensaje de rescate.

A diferencia del incidente anterior, cuando Librería Porrúa ignoró todas las alertas de Diachenko, esta vez el investigador relató que inmediatamente después de su hallazgo envió una nota de divulgación responsable a la empresa y al día siguiente, recibió una respuesta de su gerente de Tecnologías de la Información, quien protegió la base de datos en un plazo de 24 horas.

 

En agosto pasado, Librería Porrúa confirmó a El Economista que datos personales de 1 millón 149,177 de sus clientes estuvieron expuestos en internet sin ningún mecanismo de seguridad. En aquel momento, la gerente de comunicación de la cadena, Érika Carrillo dijo a este medio que la librería no había realizado ningún pago por el rescate de la información y que luego de tener noticia de la exposición de datos personales notificó a sus clientes acerca de que sus datos podrían estar vulnerables y los invitó a cambiar su contraseña dentro del sitio de la librería. 

Carrillo aseguró también en aquel momento que Librería Porrúa reforzaría “todos los esfuerzos técnicos y humanos que haya que hacer para que no vuelva a suceder esta situación”.  

El Economista contactó a Librería Porrúa para solicitar comentarios sobre esta nueva filtración, pero al momento de publicar este artículo no se había recibido una respuesta.  

[email protected]