Un hacker amenazó el viernes con filtrar 106 GB de datos presuntamente robados a Telefónica en una falla de ciberseguridad que la compañía no reconoció.
El ciberdelincuente filtró un archivo de 2.6 GB que se descomprime en cinco gigabytes de datos con poco más de 20,000 archivos para demostrar que la brecha ocurrió. Algunos de los archivos incluían facturas de clientes empresariales en varios países, como Hungría, Alemania, España, Chile y Perú, informó el sitio Bleeping Computer.
La infiltración supuestamente ocurrió el pasado 30 de mayo. Según el hacker, tuvo 12 horas ininterrumpidas para el robo de datos antes de que los defensores revocaran el acceso.
Quien se atribuye la responsabilidad del ataque se conoce como “Rey” y es miembro del grupo Hellcat Ransomware, responsable de otro ciberataque a Telefónica en enero pasado a través de un servidor interno de desarrollo y gestión de tickets de Jira.
Rey informó al sitio de noticias que exfiltraron 385,311 archivos con un total de 106.3 GB de comunicaciones internas (tickets, correos electrónicos, entre otros), órdenes de compra, registros internos, registros de clientes y datos de empleados.
También indicó que el ciberataque del 30 de mayo fue posible debido a una configuración incorrecta de Jira después de que la empresa solucionara el problema anterior.
Un empleado de Telefónica O2, la marca de la compañía española para sus negocios de telecomunicaciones en el Reino Unido y Alemania, descartó el presunto incidente como un intento de extorsión utilizando información obsoleta de un incidente ya conocido.
No obstante, el hacker insiste en que los datos provienen de una nueva brecha de seguridad del 30 de mayo. Para demostrarlo, comenzaron a filtrar parte de los archivos presuntamente robados.
Dado que Telefónica ha negado una reciente filtración de 106 GB que contenía datos de su infraestructura interna, publico 5 GB como prueba. Pronto publicaré el árbol de archivos completo y, en las próximas semanas, si Telefónica no cumple, se publicará el archivo completo. ;) —dijo Rey.
Los datos se distribuyeron inicialmente mediante los servicios de almacenamiento y transferencia de datos PixelDrain, pero fueron eliminados a las pocas horas por motivos legales.
Posteriormente, el actor de amenazas distribuyó otro enlace de descarga desde Kotizada, un servicio que posteriormente recurrió a otro, Kotizada, que Google Chrome marca como sitio peligroso y recomienda encarecidamente a los usuarios evitar.
Hasta que Telefónica no emita un comunicado oficial, no está claro si se trata de una nueva filtración de datos antiguos. Sin embargo, según los hallazgos de BleepingComputer, algunas de las direcciones de correo electrónico de la filtración pertenecen a empleados en activo.
El grupo de hackers HellCat no es nuevo en el sector y suele centrarse en atacar servidores Jira. Son responsables de múltiples ataques a empresas de alto perfil.
Reivindicaron la vulneración de datos en empresas como Ascom, el proveedor suizo de soluciones globales, Jaguar Land Rover, Affinitiv Schneider Electric y Orange Group.
