La firma, que gestiona pagos electrónicos en Estados Unidos y Canadá, informó que los atacantes accedieron a su red en un período de casi un año, pero indicó que el robo de datos habría ocurrido los días 14 y 15 de junio de este año.
El proveedor de pasarelas de pago canadiense Slim CD, informó esta semana sobre una brecha de seguridad que expuso datos personales y de tarjetas de crédito de cerca de 1,7 millones de personas.
En un documento de tres páginas hecho público en su sitio web, la empresa reconoció que un atacante accedió a sus sistemas entre el 17 de agosto de 2023 y el 15 de junio de 2024.
El aviso fue acompañado de cartas de notificación de la violación se seguridad a sus clientes y de la notificación ante los Fiscales Generales de los Estados de Maine, California y Vermont en los Estados Unidos.
Pese a que el acceso ilícito se extendió por casi un año, las notificaciones indican que solo se accedió a la información de las tarjetas de crédito entre el 14 y el 15 de junio del 2024.
La entidad también informó que la intrusión fue descubierta recién el 15 de junio, el último día que se extrajo la información, y que a partir de ese momento se inició una investigación por un experto externo quien descubrió el alcance completo del ataque.
Tras las conclusiones de la investigación, las personas afectadas, que realizaron pagos con tarjeta de crédito en los sitios web de clientes de Slim CD con sede en Estados Unidos y Canadá, comenzaron a recibir notificaciones de infracciones ocurrida a partir del viernes pasado.
De acuerdo a Slim CD, la información a la que posiblemente accedieron los atacantes incluía nombres, direcciones, números de tarjetas de crédito y fechas de vencimiento de las mismas.
De todas formas, la información comprometida no incluye el número de verificación de la tarjeta (CVV), lo que reduce el riesgo de transacciones fraudulentas, aunque sigue existiendo la posibilidad de fraude con tarjetas de crédito.
Tras el ciberataque, Slim CD aseguró haber tomado medidas para fortalecer su seguridad y prevenir futuros incidentes. Además, aconsejó a los afectados que permanezcan atentos a posibles intentos de fraude o robo de identidad, y los llamó a notificar cualquier actividad sospechosa a su emisor de tarjetas cuanto antes.
La empresa aseguró haber reportado a las autoridades federales y los reguladores en forma oportuna, y señaló que revisó sus políticas de privacidad y seguridad de datos e implementó salvaguardas adicionales después del incidente.
Sin embargo, algunos medios señalaron que la empresa no ofreció servicios gratuitos de protección contra el robo de identidad a todas las personas afectadas. Solo en la versión de los afectados de California la empresa habría ofrecido la inscripción a servicios gratuitos de monitoreo de crédito, reembolso de seguros y recuperación de robo de identidad a través de IDX, con una fecha límite de inscripción del 5 de diciembre de 2024.
Slim CD es una empresa que ofrece soluciones de procesamiento de pagos permitiendo a las empresas gestionar pagos electrónicos y con tarjetas mediante terminales web, dispositivos móviles y aplicaciones de escritorio.
La empresa presta servicios a diversas industrias, como el comercio minorista, hotelería y restaurantes. Sin embargo, es posible que muchas de las personas que recibieron la notificación no tengan conocimiento de la empresa, ya que no interactuaron directamente con ella.