- Un investigador de seguridad encuentra una gran base de datos no segura perteneciente a MyGiftCardSupply
- Contenía imágenes de documentos vitales y selfies.
- Desde entonces, la empresa lo cerró, pero los usuarios aún deben tener cuidado.
Los expertos advirtieron que una base de datos que contenía información confidencial sobre cientos de miles de usuarios permanecía en línea sin protección, disponible para cualquiera que supiera dónde buscar.
El investigador de ciberseguridad JayeLTee encontró una base de datos que contenía licencias de conducir, pasaportes y otros documentos de identificación, que una investigación posterior determinó que pertenecía a una empresa llamada MyGiftCardSupply, que vende tarjetas de regalo digitales que los clientes pueden canjear en línea o en tiendas populares.
Los datos estaban alojados en Azure y contenían 600.000 imágenes de anverso y reverso de varios documentos de identidad. Además, contenía alrededor de 200.000 selfies. Algunas empresas exigen a los usuarios que se tomen una selfie con un documento, como prueba de propiedad e identidad.
Revisión completa
Las tarjetas de regalo a menudo se utilizan indebidamente en estafas en línea. Las personas que roban dinero, especialmente criptomonedas, suelen comprar tarjetas de regalo para evitar ser rastreadas por las autoridades. Para prevenir el fraude y cumplir con las regulaciones locales, MyGiftCardSupply exigió que todos los clientes se sometieran a un proceso obligatorio Conozca a su cliente (KYC), que les exige verificar su identidad.
Lamentablemente, la empresa mantuvo estos datos desprotegidos durante un período de tiempo desconocido. No sabemos si los actores terribles descubrieron esto de antemano, pero es una posibilidad. Este tipo de datos se puede vender en la web oscura, usarse para suplantación de identidad y robo de identidad, e incluso abusar de ellos en estafas en línea.
JayeLTee dijo que se comunicaron con MyGiftCardSupply sin éxito, luego contactaron TechCrunch. En respuesta a la publicación, el fundador de la empresa, Sam Gastro, reconoció los hallazgos del investigador y dijo que “los archivos ahora están seguros y estamos realizando una auditoría completa del procedimiento de verificación KYC”.
“A continuación, eliminaremos los archivos inmediatamente después de realizar la verificación de identidad”.
La compañía dice que cerró la base de datos el 1 de enero de 2025.
