PcComponentes niega una brecha de ciberseguridad y apunta a un ataque de tipo 'credential stuffing'
PcComponentes ha aclarado algunas de las dudas que han surgido en torno al supuesto 'hackeo' de su plataforma de 'eCommerce', por el que el actor de amenezas daghetiaw asegura tener una base de datos sobre 16 millones de clientes.
El 'eCommerce' español asegura en un comunicado que "no tienen constancia" de que sus sistemas hayan sufrido una brecha de seguridad y apunta a un fenómeno conocido como 'credential stuffing', por el que los cibercriminales utilizan direcciones de 'email' y contraseñas obtenidas a partir de filtraciones de seguridad ocurridas en bases de datos comprometidas.
Este tipo de ataques se aprovechan de que los usuarios en ocasiones reutilizan la misma contraseña en varias plataformas, lo que permite el acceso a los cibercriminales a su cuenta, donde pueden recoger información.
Respecto a la cifra, asegura que ellos no tienen 16 millones de clientes, "ya que el número de cuentas activas en PcComponentes es marcadamente inferior", y que tampoco se trata de un acceso masivo, ya que "únicamente algunos clientes se han visto afectados".
También explica que no se han visto comprometidos los datos bancarios, porque no los almacenan, sino que lo que conserva la plataforma es un código de seguridad (token) "que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo".
Algo parecido ocurre con las contraseñas de los clientes, que tampoco se almacenan en su base de datos y que se convierten "en un código secreto y cifrado ('hash')", que impide que tanto PcComponentes como otros terceros puedan verlas.
Por el contrario, sí indica que hay algunos datos que se han visto afectados, y cita: nombre, apellidos, DNI, dirección, IP, correo electrónico y teléfono.
Para evitar nuevos incidentes de seguridad, PcComponentes ha cerrado todas las sesiones activas de sus clientes, para obligarles a iniciar sesión con las nuevas medidas que ha implementado, que incluyen la implantación de CAPTCHA en el proceso de inicio de sesión y la activación obligatoria de un segundo factor de autenticación (2FA).
También recomiendan a sus clientes evitar reutilizar las contraseñas en distintos servicios. Y ante la posibilidad de ser el objetivo de campañas de 'phishing' que se hayan pasar por esta plataforma, gestionar cualquier cambio de datos sobre un pedido directamente en su página web y no facilitar datos personales ni pinchar enlaces de seguimiento de pedidos ni recogidas que lleguen por correo electrónico o mensaje de texto.
