La plataforma de comercio en línea PandaBuy, ofreció disculpas tras admitir que 1,3 millones de datos de sus clientes estaban a la venta en un foro sobre delitos cibernéticos.
PandaBuy permite a los usuarios internacionales comprar productos de varias plataformas de comercio electrónico en China, incluidas Tmall, Taobao y JD.com.
Un usuario identificado con el alias Sanggiero, el cual es conocido por anteriores filtraciones a grandes organizaciones, estaba ofreciendo casi 3 millones de filas de información en una hoja de cálculo robados de la compañía.
Entre los datos filtrados que están a la venta se encuentran los ID de los usuarios, nombres completos, números de teléfono, direcciones de correo electrónico, direcciones IP, direcciones particulares y datos de pedidos.
Si bien Sanggiero es quien aparece vendiendo la información robada, el mismo actor de amenaza compartió créditos por el ciberataque con otro actor identificado como IntelBoker.
«Los datos fueron robados aprovechando varias vulnerabilidades críticas en la API de la plataforma y se identificaron otros errores que permitían el acceso al servicio interno del sitio web», dijo el Sanggiero.
Varios investigadores de ciberseguridad confirmaron que la información pertenecía a PandaBuy. Uno de ellos, identificado como Troy Hunt, un consultor de seguridad que dirige el sitio web de búsqueda de violaciones de datos Have I Been Pwned, indicó que “gracias a una combinación de vector de enumeración y la presencia de direcciones de Mailinator, está muy claro que los datos del usuario efectivamente provienen de Pandabuy. Las direcciones de correo electrónico inventadas se confirman como inexistentes, mientras que las direcciones en la infracción se restablecen con éxito los correos electrónicos”
De hecho, Have I Been Pwned (HIBP), indicó que el número de cuentas comprometidas asciende exactamente a 1.348.407.
La información estaba expuesta en un foro de la DarWeb, y para demostrar a los miembros no registrados que la información es válida, el actor de amenazas proporcionó una pequeña muestra que contiene direcciones de correo electrónico, nombres de clientes, números y detalles de pedidos, direcciones de envío, fechas y horas de transacciones e identificaciones de pago.
Fueron esos los datos que Troy Hunt utilizó realizando solicitudes de restablecimiento de contraseña utilizando las direcciones filtradas, y con ello, pudo comprobar que al menos 1,3 millones de direcciones de correo electrónico fueron válidas y provienen de PandaBuy.
El mismo analista descartó que el resto de la información tuviera validez, indicando que corresponden a direcciones inventadas o duplicadas, por lo que los actores de amenazas inflaron la cifra de cerca de 3 millones.
Pandabuy abordó el incidente a través de su canal oficial de Discord en una larga declaración, confesando el error de datos y culpando a los ciberdelincuentes por eludir sus controles de seguridad.
Pese a lo anterior, la empresa no abordó directamente la cantidad o naturaleza de los datos involucrados, pero fueron enfáticos en mencionar que la información financiera no estaba implicada después de analizar lo filtrado.
Pandabuy tampoco detalló cómo se permitió que ocurriera la infracción, aparte de vagas referencias a la reparación de «vulnerabilidades del sistema» y la investigación exhaustiva de sus sistemas después de detectar la infracción, eliminando «todos los posibles peligros ocultos».
Se instó a los clientes a permanecer atentos a cualquier información errónea y ataques posteriores a la violación de datos, y también se les aseguró que sus cuentas estaban seguras.