Fuga de 117.000 datos de la compañía de seguros de coches AA

Uno de los principales cambios del nuevo Reglamento General de Protección de Datos (RGPD) es establecer un procedimiento común ante brechas de seguridad de protección de datos en todos los Estados miembros de la UE.

A tan solo 9 meses para la entrada en vigor del RGPD (25 de mayo de 2018), la empresa británica de seguros de coche AA ha sufrido una gran fuga de datos que ha afectado a 117.000 de sus clientes, según informa la web Motherboard.

El pasado abril, un servidor mal configurado desencadenaba la fuga de nombres completos, direcciones postales e IP, detalles de compra, fechas de caducidad de las tarjetas de pago e, incluso, los últimos cuatro dígitos de las tarjetas de más de 100.000 clientes de AA.

La noticia salió a la luz el pasado 26 de junio cuando los clientes afectados recibieron un e-mail diciendo que sus contraseñas habían sido modificadas. Alarmados por el miedo a haber sufrido una violación de sus datos personales, muchos de ellos acudieron a las redes sociales donde un tweet de la compañía de seguros decía que estaban “mirando el asunto de manera urgente”.

Solo unas horas más tarde, AA publicaba otro tweet señalando que “el e-mail que había sido enviado era un error y que las contraseñas no habían sido cambiadas y, por tanto, la información personal estaba bajo seguro”. Tal y como se puede comprobar en el tweet, pedían disculpas por las molestias ocasionadas.

Las reacciones no se hicieron esperar

Ese mismo día, el investigador de seguridad Troy Hunt twitteó que uno de sus seguidores “había notificado a la compañía de seguros la copia de 13GB de sus datos personales” en abril y “no estaba seguro si se había informado a los afectados”.

Por su parte, los suscriptores a los que Troy Hunt hacía referencia confirmaron que la web Have I been pwned -donde se pueden comprobar diferentes brechas de seguridad- , afirmaba que la fuga había tenido lugar. Motherboard lo ratificó tras recibir una copia de los datos expuestos.

En una declaración emitida a Motherboard, la empresa de seguros confirmaba que “AA fue informada de una vulnerabilidad potencial que involucra algunos datos procedentes de su tienda realizados el 22 de abril de 2017.” Asimismo, aseguraba que el problema se resolvió el día 25 de ese mismo mes.

Tras la decepción que Troy Hunt mostró en su Twitter porque supuestamente AA intentó encubrir la brecha de seguridad, la compañía insistió en que ningún detalle de la tarjeta de crédito había sido comprometido. Sin embargo, no proporcionó detalles sobre el resto de datos sino que apostilló que habían iniciado una “investigación completa”.

Tras esta respuesta, muchos usuarios reaccionaron en Twitter preguntado que, “si la investigación no estaba completa, ¿cómo podría AA estar seguro de que los detalles de la tarjeta de crédito no se habían visto involucrados?

Por su parte, la Oficina del Comisionado de Información (ICO) ha abierto su propia línea de investigación.

Responsabilidad con el RGPD

A falta de conocer la opinión de ICO sobre el asunto, este incidente debería ser una llamada de atención para todas las organizaciones ya que, según el nuevo Reglamento -que entrará en vigor el 25 de mayo de 2018-, las empresas tendrán 72 horas para denunciar una brecha en su seguridad.

Cualquier organización que ignore o no cumpla el RGPD se enfrentará a multas de hasta 20 millones de euros o el 4% de su facturación global anual, lo que sea mayor.

Para familiarizarte con el nuevo Reglamento General de Protección de Datos, no dudes en echar un vistazo a esta interesante guía de bolsillo.

O, si lo que deseas es obtener una visión general sobre el nuevo RGPD, haz clic aquí, y descarga el libro verde gratuito de IT Governance.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.