La filial francesa del proveedor holandés de servicios de telecomunicaciones Eurofiber, confirmó que atacantes explotaron una vulnerabilidad en su plataforma de tickets y en el portal ATE, robando información técnica y de soporte antes de exigir dinero a la empresa.
Eurofiber France, filial del proveedor holandés Eurofiber Group NV, confirmó una brecha de seguridad ocurrida el 13 de noviembre, luego de que un actor malicioso accediera a su plataforma de gestión de tickets y al portal ATE, ambos utilizados por la división francesa y sus marcas regionales Avelia, Eurafibre, FullSave y Netiwan.
El incidente, que la compañía calificó como acotado a su operación en Francia, se produjo tras la explotación de una vulnerabilidad que permitió la exfiltración de información almacenada en los sistemas comprometidos.
En una declaración pública, la empresa señaló que “en las horas posteriores a la detección, la plataforma de tickets y el portal ATE fueron asegurados y la vulnerabilidad fue corregida”. También indicó que se implementaron “medidas adicionales” para reducir el riesgo de nuevas fugas y reforzar la protección interna. Eurofiber subrayó que los servicios operaron con normalidad durante todo el incidente y que “los datos bancarios u otros elementos críticos” alojados en sistemas distintos no se vieron afectados.
La compañía evitó detallar qué tipo de información fue sustraída, mientras que distintos reportes externos atribuyeron el ataque a un actor identificado como ByteToBreach, quien publicó en un foro clandestino que había obtenido datos de cerca de 10 mil organizaciones, incluidas entidades gubernamentales. El supuesto responsable aseguró poseer archivos cargados por clientes en las solicitudes de soporte, como capturas de pantalla, configuraciones de VPN, credenciales, certificados, respaldos SQL, código fuente y otros documentos técnicos.
Posteriormente, nuevos antecedentes apuntaron a que los atacantes habrían aprovechado una vulnerabilidad SQL injection en la interfaz GLPI utilizada por Eurofiber France. Según estas versiones, los responsables lograron extraer hasta 10 mil hashes de contraseñas durante una ventana de diez días, además de utilizar claves API y otros secretos para acceder a documentos y mensajes internos.
Eurofiber France evitó confirmar esta información, aunque sí admitió haber presentado “una denuncia por extorsión”, dando cuenta de que los atacantes exigieron dinero a cambio de no divulgar los datos robados. Paralelamente, la empresa notificó el incidente a la CNIL, la autoridad francesa de protección de datos, y a la ANSSI, la agencia nacional encargada de la ciberseguridad.
De acuerdo con la compañía, el impacto para socios indirectos y proveedores mayoristas es “muy limitado”, ya que la mayoría utiliza sistemas independientes. Asimismo, señaló que la afectación no alcanza a los clientes de Eurofiber en otros países donde el grupo opera, incluyendo Bélgica, Alemania y los Países Bajos.
Pese al carácter técnico de la información comprometida, expertos advierten que su difusión podría facilitar ataques posteriores, especialmente si los materiales incluyen configuraciones internas o credenciales reutilizadas. Eurofiber indicó que notificará directamente a todos los clientes afectados, aunque hasta ahora no ha precisado cuántas organizaciones fueron comprometidas ni si la información sustraída será publicada.
El incidente se suma a una serie de ataques recientes contra proveedores de telecomunicaciones en Francia. En agosto, Bouygues Telecom reconoció una filtración que involucró datos de 6,4 millones de usuarios, mientras que en julio Orange France confirmó una intrusión cuyo alcance aún se investiga.