PyE
SINGAPUR: La Asociación de Consumidores de Singapur (CASE) dijo el viernes (30 de agosto) que está comprometida a salvaguardar los datos de los consumidores, luego de que la Comisión de Protección de Datos Personales (PDPC) le impusiera una multa de S$20.000 (US$15.350).
Los datos personales de más de 12.000 personas y más de 22.000 direcciones de correo electrónico posiblemente se vieron comprometidos en dos incidentes separados de violación de datos que involucraron a CASE.
En una sentencia publicada por PDPC el miércoles, el organismo de control de privacidad de Singapur dijo que CASE violó sus obligaciones bajo la Ley de Protección de Datos Personales (PDPA) para proteger los datos personales en su posesión.
Tampoco desarrolló ni implementó políticas y prácticas necesarias para cumplir con sus obligaciones bajo la PDPA.
El organismo de control del consumidor reconoció las infracciones y aceptó la multa de 20.000 dólares singapurenses, añadiendo que está «comprometido a salvaguardar los datos de los consumidores».
CASE agregó que ha cumplido con las directivas de la PDPC para actualizar sus políticas de protección de datos personales y corregir las brechas de seguridad.
«Revisaremos continuamente nuestros sistemas y prácticas para evitar que se repitan tales incidentes».
QUÉ PASÓ
En el primer incidente ocurrido el 8 y 9 de octubre de 2022, varios consumidores de CASE recibieron correos electrónicos de phishing no solicitados de dos direcciones oficiales pertenecientes al organismo de control del consumidor.
Se les informó que sus quejas habían sido elevadas al “departamento de cobros y compensaciones” y que eran elegibles para recibir una compensación.
A los consumidores afectados se les pidió que hicieran clic en un ícono de chat para completar sus datos bancarios y completar el proceso de pago.
Los correos electrónicos procedían de una cuenta utilizada para comunicarse con consumidores que presentan quejas en el sitio web de CASE.
Se enviaron correos electrónicos similares a través de una cuenta utilizada para comunicarse con consumidores cuyas quejas fueron elevadas a mediación.
CASE notificó a PDPC que había ocurrido un incidente de violación de datos que involucraba a un actor de amenazas el 11 de octubre de 2022. Un actor de amenazas es un individuo o grupo que causa daño intencionalmente a dispositivos o sistemas digitales.
CASE recibió quejas sobre más correos electrónicos de phishing enviados desde direcciones que no se originaron en su dominio en enero y febrero de 2023.
Los correos electrónicos de los consumidores afectados «probablemente fueron recolectados» por el actor de amenazas durante el transcurso del primer incidente, dijo PDPC.
Se enviaron un total de 5.205 correos electrónicos de phishing a 4.945 destinatarios, y el organismo de control de la privacidad señaló que hasta 22.542 direcciones estuvieron expuestas a la «recolección» por parte del actor de la amenaza.
Tres consumidores afectados informaron a CASE que habían interactuado con los correos electrónicos de phishing, lo que supuestamente les había provocado pérdidas monetarias por un total de 217.000 dólares singapurenses. Desde entonces, se ha presentado una denuncia ante la policía.
CASE contrató a un experto forense privado para determinar la causa y el alcance del primer incidente, y descubrió que el actor de la amenaza había iniciado sesión con éxito en las cuentas afectadas utilizando las credenciales de inicio de sesión correctas.
También descubrió que las credenciales de inicio de sesión correctas se obtuvieron mediante un ataque de phishing exitoso contra un empleado de CASE.
Además, algunas de las computadoras de CASE «funcionaban con sistemas operativos al final de su vida útil y tenían software vulnerable con actualizaciones o parches de seguridad no aplicados», lo que las ponía en riesgo de vulnerabilidad de ejecución remota de código, según la sentencia.
SEGUNDO INCIDENTE
En junio de 2023, PDPC recibió una queja de un consumidor de CASE mientras las investigaciones sobre el primer incidente estaban en curso.
El denunciante había recibido un correo electrónico de phishing dirigido enviado desde una dirección de correo electrónico que no provenía del dominio de CASE.
Posteriormente, CASE fue informado de más casos similares: 28 personas le dijeron al organismo de control que habían recibido correos electrónicos de phishing.
Las investigaciones del PDPC no pudieron llegar a una «conclusión definitiva» sobre cómo ocurrió la violación de datos en el segundo incidente.
Sin embargo, la comisión concluyó que «probablemente ocurrió» durante un ejercicio de migración de datos realizado por CASE en algún momento entre el 24 de diciembre de 2019 y el 1 de enero de 2020, cuando cambió de proveedor de TI.
El PDPC señaló que los datos personales de aproximadamente 12.218 personas involucradas en el ejercicio de migración de datos estaban en riesgo de acceso no autorizado y
exfiltración.
Los datos incluían direcciones de correo electrónico, números de contacto, nombres y detalles de las quejas presentadas.
Los consumidores afectados no sufrieron pérdidas monetarias en el segundo incidente.
