Actualidad y sociedad
421 meneos
7745 clics
Difundidos los datos personales de más de un millón de clientes de Phone House tras no pagar el rescate del ciberataque

Difundidos los datos personales de más de un millón de clientes de Phone House tras no pagar el rescate del ciberataque

Difundidos los datos personales tan sensibles como DNI, móviles, domicilios, etc de más de un millón de clientes de Phone House tras no pagar el rescate del ciberataque .

| etiquetas: difundidos datos personales , clientes , phone house , no pagar , rescate
187 234 0 K 434
187 234 0 K 434
Comentarios destacados:                                  
#14 Ya avisaron de que estaban siendo chantajeados.

www.elconfidencial.com/tecnologia/2021-04-17/phone-house-ciberataque-c


El problema, es que si les pagan el chantaje inicial, luego piden mas, luego mas .. y al final los terminan publicando.
#21 el problema es que les sale más a cuenta pagar la multa de la AEPD (si es que la hay), que pagar el rescate.

Cierta empresa española tuvo un leak hace un par de años de información sensible de sus clientes, y ni multa, ni aviso a los usuarios, ni nada. :roll:
#35 Pues qué gilipollas los "hackers".

Desde luego la putada es grande, para la empresa y para los usuarios afectados, pero vamos, si la cuantía económica que piden no es asumible, o incluso menor que el castigo que pudieran hacer frente por tal brecha de seguridad, pues te encontrarás con que estás difundiendo datos de manera ilegal para todos aquellos a los que les interese y simplemente quedarás como el tonto útil para esos.


Buen trabajo los hackers :palm: .
#45 Y un delito de los que te dejan en la cárcel para toda la vida y me da que los van a pillar porque es muy gordo lo que han hecho.
#71 las probabilidades de que te pillen no son únicamente roporcionales a lo que has hecho.

Probablemente estén seguros de que no les van a pillar.
#71 Como sea de gente de países del este olvídate.
#45 En el caso de España el castigo siempre es de risa. Pero bueno eso también dependerá de la reacción que espere la empresa por parte de sus clientes, si son del tipo, "yo no tengo nada que esconder", pues normal que no paguen.
#45 no son hackers, son delincuentes que emplean las nuevas tecnologías. Como siempre el requerimiento de pago a través de criptomonedas... Al final terminarán legislando en contra de ellas
#45 En negocios así que casi nunca funcione es lo de menos, si aunque sea una de cada mil veces acaba funcionando.
#35 Eso iba a decir.
#35 No tienen por qué ponerte una multa. La Agencia te obliga a una serie de medidas, pero creo que todos sabemos que prácticamente es imposible evitar ciertos hackeos.

Si las medias de seguridad que han implantado son las correctas, si tienen copias de seguridad para restaurar posibles datos perdidos y si han informado de una brecha de seguridad.. en principio no hay sanción.
#21 Pues no sé si tienes alguna experiencia que compartir o te lo están inventando, pero yo conozco de primera mano dos empresas a las que encriptaron el grueso de sus sistemas. Primero intentaron recuperar el erp y otros sistemas críticos. No lo consiguieron. Negociaron y pagaron, y recuperaron toda la información.
No digo que sea lo correcto. Pero es lo que pasó.
#23
¿Cuánto les pedían?
¿Hasta cuánto les pueden meter de multa?

Pues eso.
#2 Supongo que si ellos demuestran que los datos estaban guardados con unos estándares de seguridad aceptables, no les pueden culpar. Si se demuestra que estaban sin la suficiente seguridad, quizá sí, pero no creo que les puedan multar por la publicación, que no han sido ellos, sino por no guardarlos suficientemente bien (que también la multa es alta, pero entiendo que son dos conceptos diferentes).
#2 ¿Tienes los datos? Es decir, ¿sabes cuanto les pedían? ¿Sabes hasta cuanto puede ascender la multa? Porque tal y como funciona la LOPD que te chantajeen no es motivo de multa (como explica #33) y los datos tampoco son del máximo nivel de protección (no son datos médicos o similares)

Es decir, que es probable que la multa será menor que lo que tuvieran que pagar.
#41 Por eso lo pregunto, porque no lo sé (aunque lo que pedían salió publicado aquí, creo) Pero imagino la misma conclusión: será más barato hacerlo mal que bien.
#46 Pero es que no es hacerlo mal, muchas veces no podemos evitar un hackeo si el hacker es bueno. No puedes decir a una empresa que tiene que evitar el 100% de los hackeos porque es imposible.

Ahora, si me dices que lo tenían en un ordenador en medio de un pasillo sin vigilancia (por decir algo), pues sí, multa al canto.
Ahora se sabrá quién es o fue cliente de esa empresa. Que vergüenza e ignominia... Un escándalo sin precedentes.
Si creemos que datos sensibles (DNI, domicilio, teléfono...) de absolutamente todos nosotros no circulan por infinidad de empresas, órganos y organismos, partidos políticos, etc., vivimos en el los mundos de Yupi.
#3 ¿Por qué tienen esos datos de los clientes?
Yo me compré un móvil allí allá por el 98, y no recuerdo que tuviera que dar DNI, dirección ni nada de eso, solo el dinero para pagar el aparato.

Edit: #5 ah....
#3 Con DNI, domicilio y teléfono puedo abrir una cuenta a tu nombre y pedir un préstamo. Si además sé de qué banco eres puedo conseguir que me envíen una copia de tu tarjeta. No minimizes el valor de lo filtrado.

#54 Con la excusa del terrorismo te piden el DNI cada vez que compras una SIM.
#68 Necesitan el DNI físico o un certificado digital para eso que comentas de la cuenta. Hace 50 años igual era como decías pero las cosas van cambiando.
#97 Compré una hace dos meses y ni mención a alternativa al DNI.

Si hablas de la cuenta del banco, digo que con tu DNI puedo abrir una en tu nombre con facilidad.
#3 Entra los datos filtrados tambien figuran cuentas bancarias. Y lo digo porque las he visto.

CC #68, #82, #105
#3 El problema es que esos datos de contacto + direcciones postales están disponibles para cualquiera. Esto es gravísimo para personas que han sufrido algún tipo de acoso o amenazas y han tenido que cambiar datos personales. Conozco un caso de alguien que tuvo que "desaparecer" de Internet y cambiar todos los datos de contacto que pudo por un chantaje. Que ahora esas personas puedan conseguir su dirección física es muy grave para esta persona.
Esto no es ninguna tontería.
cc #64
#3 ¿me pasas tu email, DNI, nombre, dirección y teléfono? Total, ya circulan por ahí.
Pésima gestión de respuesta a incidentes por parte de The Phone House.
#1 ¿Deberían de haber pagado? :shit:

A los extorsionadores ni agua.
#11 No, tienen que comunicar que han tenido una brecha, qué es lo que saben hasta ahora, qué tipo de datos ha sido expuesto, etc. Y por lo que entiendo, no han dicho absolutamente nada.
#14 claro, a ti te lo iban a contar.

Luego que si la culpa era de la chica por ir provocando
#29 Estas cosas se suelen comunicar a las personas a las que atañen los datos filtrados.
#40 Es decir, propones llamen a todos y cada uno de sus clientes (y no clientes) por telefono? En lugar de hacer una comunicacion publica.
#72 tal vez una llamada personal no, pero un sms o email notificando del suceso no estaría de más (que para lo que quieren sí te contactan)
#74 Seguro que ese sms solucionaría el problema
#14 #75 Es lo que marca la ley, que tienen que notificar a la AEPD y los afectados por separado.
No es cuestión de que les venga mejor o peor o que tengan que perder mucho tiempo. Ellos tenían almacenados datos personales de clientes y en su deber está custodiarlos, si tienen una brecha tienen que avisarte a nivel individual porque son tus datos los comprometidos.
#88 Si es lo que marca la ley, lo habrán hecho y si no, ya les caerá una sanción por ello.
#75 No soluciona el problema, pero está bien saber que van a publicar ciertos datos personales por internet. Ya no solo porque sea obligatorio hacerlo, si no por si por ejemplo decides cambiar de mail o teléfono móvil a causa de ello.
#72 Estaba pensando en el correo electrónico. Como hicieron Linked-in o Yahoo en su día.
#29 Es obligatorio informar a los afectados si los datos son sensibles, si no se hace la multa es mayor.
#14 ¿Y tú sabes que no se lo han comunicado a la AEPD?
#94 El problema es que no se lo comunicaron a los afectados, al menos no hasta que empezó el chantaje y tuvieron que hacer público el ataque.

Según el GRDP, Artículo 34, "When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay".

gdpr-info.eu/art-34-gdpr/

Si se han filtrado nombres, apellidos, números de DNI, teléfonos y…   » ver todo el comentario
#11 Pues pagar deberían pagar, toda empresa que no custodie los datos de sus clientes correctamente debería ser multada, y los afectados indemnizados, me da igual que sea facebook, Phone House o la carnicería de Manolo.
#92 me refería pagar a los hackers, eso nunca
#1 Si pagan la cagan pero bien, quien les asegura que esos Hp no publican los datos también después de recibir la pasta
#43 En teoría el grupo que tiene los datos tiene nombre, por lo que entiendo que hacer eso que dices es malo para su imagen de marca y desincentivaría a pagar a los próximos que chantajeen.
#62 Exacto, una cosa es ser un extorsionador, otra muy distinta es ser gilipollas
#43 al pagar les das el mensaje claro de que pueden prosperar haciendo eso más veces y contra más empresas.
#1 Pésima gestión en general. No te venden un teléfono si no les das tu DNI.
#49 Eso es normativa española
#73 No es verdad, te la están colando. Yo me he comprado un móvil en el Carrefour y al pasar por la caja pagué en efectivo.
#76 Y diste tu DNI o iba sin SIM
#77 Cuando compras un teléfono móvil va sin Sim. Línea de móvil es un tema aparte.

Y los de Phone House tienen una pésima gestión en general, no te venden un teléfono si no les das tu DNI.
#80 Ok, cuando decias telefono pensaba que te referias a lo normal, telefono mas linea. Lo del dni para el telefono lo desconozco
#84 Resulta extraño que no hayas comprado un smartphone últimamente para tu múmero de móvil de siempre.

Igualmente, los de Phone House no te venden un smartphone o un teléfono móvil cualquiera si no les das tu DNI. Tienen una gestión pésima.
#87 No entendí. Que cómo es la gestión de phone House? :-D
#89 Es pésima. Si no les das el DNI no te venden el teléfono.


( :-P )
#90 sin el dni no te dan el teléfono? Qué gestión tan pésima. Me sorprende que nadie lo haya dicho
#87 Yo los telefonos los he comprado por internet Pero repito,. pensaba te referias a la linea que es donde es obligatorio el DNI.
#1 Espero que la AEPD los cruja a base de bien...
#1 al menos no han pagado que es lo más indigno y perjudicial que podrían hacer hecho.
#1 Pagan y el código hacker les impide publicarlos igualmente? No creo

La cagada es que les robasen los datos, pero andar pagando por eso los convierten en un objetivo
#1 No obstante me parece adecuado no pagar, es mas, probablemente parte de estos ataques se podrían desincentivar si se supiera que nadie paga. Quedarían los que quieren hacer daño por hacerlo, pero no habría incentivo económico. Por otra parte decir que ojalá los pillen y pasen el resto de sus vidas entre rejas, porque delitos de este calibre merecen todo el peso de la ley al tratarse de datos de personas que nada tienen que ver con los negocios de Phone House mas allá de haber sido alguna vez clientes, seguramente en muchos casos, puntuales.
este momento tenemos una hoja de cálculo con los datos de 1.048.575 personas, que es el máximo filas de Excel por archivo
Parece que los de genbeta no saben abrir un csv. Tendrá datos de más pero al abrirlo en Excel se queda en su número máximo de filas. Eso no quiere decir que el archivo tenga solo datos de ese número de personas.
#22 en CSV no hay límite de datos, al abrir el CSV se abre en CSV, y le das formato y sigue en CSV, y puedes exportarlo, el máximo del Excel es 65000 líneas
#25 en las nuevas versiones de excel, es mucho más.
#25 1,048,576 lineas en excel 2019.
#25 en CSV no hay límite de datos
Vamos, lo que he dicho yo. Csv es una convención, no un formato. Es un fichero de texto y su único límite es el que establezca el sistema de ficheros en el que esté formateado el disco que lo contiene. Aquí han cometido la cafrada de abrirlo con Excel que sí tiene número máximo de filas.

el máximo del Excel es 65000 líneas
Eso era en tiempos del tío Paco. Las "nuevas" versiones de Excel soportan algo más de un millón de filas (el nuevas va entre comillas porque es así desde 2010).
#37 pues si me quedé entonces anticuado, perdone entonces también por entender mal sus palabras. Hoy no me voy sin aprender otra cosa más
#47 Pues mira, cometí un error. En realidad es desde 2007 xD. Te iba a decir que era desde que se implantó el estándar OOXML que tenía en la cabeza que fue con Office 2010 pero en realidad fue ya 3 años antes.
#25 ¿de qué estás hablando?

csv es puto texto plano con un separador. Se abre con el programa que tengas asociado a esa extensión, si es Excel o cualquier otro programa tendrá los límites que toquen.

Y vaya mierda de Excel tienes tú, en el Office 365 tienes 1.048.576 filas. Si exportas con conocimiento, se irán añadiendo hojas si no te cabe todo en una.
#42 bueno y si nos ponemos así nos picamos un Python para meter los datos en DB, y luego mandar un sms o un email, de aviso.
#55 de qué hablas ahora?

A ver si te enteras... un csv al ser texto plano lo puedes abrir con la aplicación que te salga de los cojones. Como si usas el bloc de notas...

Y que el límite que decías de Excel debe ser de una versión prehistórica del siglo pasado xD
#25 Yo abro CSV con awk, el resto es perder el tiempo con programas limitados.
#25 esas 65k filas son por hoja y en excels xls.
los xlsx permiten sobre el millón como han dicho.
#22 Edito: sí seguramente tengas razón
#31 entendí mal a #22 y estoy desfasado en cuanto a apertura de datos en Excel con alta cantidad de datos. La razón la lleva él.
Enviadme fotopolla
#24 Golosona.
#63 *enviadme fotopolla recubierta de sirope de chocolate.
#81 Ahí te va  media
Qué vergüenza, los hackers se van a enterar que llevo desde 2002 comprando siempre el móvil más barato.
#64 Que exista una base de datos accesible por cualquiera con nombre, apellidos, dni, dirección etc y tú estés en ella no es para tomárselo a risa precisamente.
#64 no te preocupes, puede que ahora compres el más caro sin enterarte
#50 No me queda claro a quién te refieres.
¿Dónde se pueden consultar?
#6 #8 Próximamente en haveibeenpwned.com/
#13 esperando me hayo. que les compré un móvil en 2009 y me gustaría saber si siguen teniendo mis datos o no
#18 Hallo, de "hallarse".
#51 totalmente! :palm:
#18 Una cosa puedes tener por segura: tus datos los siguen teniendo.

Otra cosa es que formen parte de los robados/publicados
#18 yo en 2011. Acabo de comprobar que, para el email que usé entonces para hacer el pedido, no me hace la recuperación de contraseña ("su email no está registrado"). Pero creo recordar que el pedido lo hice en tienda, no dándome de alta en la web, así que es muy probable que igualmente conserven los datos personales.
#18 pues yo literalmente compré un móvil en 2009 y mis datos se han filtrado, email, nombre y apellidos, fecha de nacimiento y número de móvil. Me cago en sus muertos.
#32 es más probable que lo veamos donde dice #13
#130 es más probable que lo veamos donde dice #13
#130 es más probable que lo veamos donde dice #13
#8 En el post de Bandaancha viene incluido el acceso al .onion mediante la red TOR
bandaancha.eu/articulos/phone-house-chantaje-ramsomware-datos-9886
#32: Lo suyo es que se pudiera hacer en la GC con el DNI electrónico.
Y cómo puedo saber si mis datos están en esa lista? :palm:
#6 Dame tu usuario y contraseña de correo y te lo miro :troll:
#7 Mi usuario el mismo que el de Menéame y mi contraseña es **********
Muchas gracias compañero!! :-D
#9 ostias que moderno meneame que si pones tú pass te la oculta automáticamente

*******
#10 Ostras, a ver que pruebe yo!!

Mi contraseña es 123456
#16 Funciona, yo veo "Mi contraseña es **** "
#10 Venga, pruebo yo también!

hunter2

Pues a mí no me sale con asteriscos...

bash.org/?244321
#9 ostia, tienes la misma contraseña que yo tio, que es ******** o_o
#6 si has usado sus servicios tendrán los datos que les hayas dado después de aceptar sus condiciones jejeje
#6 si fuiste cliente de Vodafone también todo el planeta tiene tus datos. Que lo sepas.
Esto es un desastre. No puede ser que la confidencialidad de nuestros datos dependa de la empresa que los gestiona y que al mismo tiempos estén distribuidos y replicados en varias bases de datos, una por empresa.
Al mismo tiempo alguna ley debería fijar los datos que se almacenan.
Qué datos son imprescindibles para The Phone House?
Necesitan imperiosamente almacenar mi dirección postal o mi DNI?
#93 Necesitan imperiosamente almacenar mi dirección postal o mi DNI?

Si te venden una SIM o te hacen una factura de cualquier producto, pues sí.
Por normativa. Y por lógica.
El dia que pase con el historial de busquedas de google nos vamos a reir... seguro que si google hace un crowfunding para pagarlo todo el mundo pone pasta
#20 Antonio Baños ya no. No le merece la pena.
nuestros datos son putas baratas
#44 correcto, pero el chulo no eres tú...
¿Tiene clientes Phone House?
#4 Si, tiene su propio OMV que hace de mayorista a pequeños operadores y distribuidores.
#5 y el servicio de seguros para móvil
#30 Ya quisieran ellos tener ese número de asegurados, son líneas móviles.
No los filtra/ba la DGT cuando te multaban?
#12: A veces sí, y también de convocatorias y cosas así, de hecho yo de ahí he sacado algunos datos, y hasta domicilios.

Es típico, buscas alguna combinación de estas, y luego examinas los resultados, a veces hay suerte:
· nombre apellido entre comillas y ciudad
· apellido nombre entre comillas y ciudad
· apellidos nombre entre comillas
· nombre apellidos entre comillas
· número de teléfono
· dni con letra
· dni sin letra, pero añadiendo…   » ver todo el comentario
Pues el multazo tendría que ser el doble de lo que les pedían los hackers.
#17 ¿ Tu propones pagarles ?

Si piden 1 millón de €, PhoneHouse los paga. Luego piden otro millón .... ¿los tiene que pagar?.
#17 Que buena idea. Los hackers podrían haber pedido mil trillones de euros y, así, con una multa de dos mil trillones de euros seguro que quebraban. :shit:
#17 Porque, con esa gente no se puede hacer tratos son los mas miserables y faltos de ética que hay.
#50 ¿Estas hablando de phone house o de los hackers?
#96 Tu sabes bien de quien hablo una es una empresa, puede ser buena, mala o pesima y los otros unos sinvergüenzas y pueden ser ladrones como en este caso
#17 Di la verdad, eres uno de ellos :troll:
Ni tienen a mano alguien con un mínimo de conocimientos en programación (en cualquier lenguaje) para que les maneje un puto fichero en texto plano sin necesitar Excel.
#99 awk/perl, a tomar por culo.
Ese invento de LOPD fué creado por la mafia para la mafia...? Pregunto, que hay demasiado gilipollas tikismikis. Protección de datos...? Una mierda que se coman.
Ale, ya tengo dataset nuevo para practicar con R, que los que hay por los repos ya están un poco trillados...
#26 enviame el enlace, que yo tambien necesito un dataset
No soy entendida en estos temas pero si ya estaba tocada la empresa, imagino que lo que menos pensaban era que lo siguiente sería eso. Por lo que mucho mejor meter el dinero en los directivos, ex directivos y no en garantizar la privacidad o seguridad de sus clientes.
Fenomenal, lo tenían fácil
«12

menéame