La empresa distribuidora de filmes aseguró que la fuga fue resuelta el 23 de enero y que las autoridades están investigando lo ocurrido. Entre la información filtrada habrían datos bancarios, números de DNI, correos y otra data sensible.
El equipo de investigación del sitio especializado SafetyDetectives reveló una fuga de datos de la cadena de cines Cineplanet de Perú. La brecha de seguridad revela aproximadamente 14 millones de registros de inicio de sesión y más de 205 millones de registros de datos de los clientes de la empresa.
Los investigadores descubrieron que no se había tomado las medidas de seguridad necesarias para proteger la base de datos de los clientes que acudieron al cine durante el mes de diciembre del 2019. La fuga se cerró el 24 de enero de 2020, según el reporte.
La información vulnerable incluye la identificación del usuario, su número de DNI, correo, teléfono, dirección, estado civil, así como contraseñas sin cifrar.
También se pudo detectar saldo de puntos de fidelización de los clientes, y datos bancarios como el número de los primeros cuatro y últimos cuatro dígitos de la tarjeta de crédito, la fecha de vencimiento y el código de referencia bancaria.
Los datos técnicos recuperados ofrecen la dirección IP, navegador, dispositivo y registros de sesión del usuario.
“Los números de tarjetas de crédito parciales (primeros y últimos cuatro dígitos) pueden conducir al robo de identidad y al fraude al proporcionar la información necesaria para el restablecimiento de contraseñas”, revela el informe de SafetyDetectives. Luego se agrega: “Esta fuga de datos también representa una amenaza física real para los cinéfilos. Con los nombres y domicilios a la mano, los delincuentes pueden acechar o atacar a posibles víctimas”.
De acuerdo con el reporte, no se pudo identificar si la base de datos cayó a manos de cibercriminales que pudieran concretar fraudes informáticos.
Investigación en curso
Por su parte, la cadena de cines informó en Twitter que se realiza la investigación interna sobre lo ocurrido. "Se tomaron las acciones correctivas. Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información", señaló la empresa.
Hola, el jueves 23 de enero se reportó una brecha de seguridad en uno de nuestros servidores y ese mismo día se tomaron las acciones correctivas. Estamos investigando para definir el alcance y estaremos comunicando en cuanto tengamos mayor información.
— Cineplanet Perú (@cineplanet) January 27, 2020
Por la noche, Cineplanet aseguró que "esta alerta no supone una fuga ni descarga de información". También afirmó que este hecho se realizó sobre la base de datos de un grupo de transacciones que era analizada como parte de un período de pruebas y que implicaba al 3.6% de los clientes registrados.
En ese sentido, Cecilia Pastorino, Security Researcher de Eset Latinoamérica, estimó que la información de la base de datos no estuvo cifrada. Además, destacó que las malas prácticas más frecuentes son configuraciones incorrectas, errores de usuarios, sistemas de testing con datos reales, y falta de seguridad para las bases de datos.
La especialista recomendó que las empresas cuenten con un sistema de auditoría de seguridad, así como usar contraseñas fuertes y cifrar la información que sea sensible.