Virgin Media, el proveedor británico de telecomunicaciones y televisión por cable, sufrió una violación que permitió el acceso no autorizado a los datos de los clientes, algunos de los cuales supuestamente vincularon a los suscriptores con contenido de pornografía, apuestas y violencia extrema.
Virgin Media dijo en una publicación que el acceso no autorizado fue a una base de datos de marketing que incluía “información de contacto limitada, como nombres, direcciones de correo electrónico y números de teléfono” de unos 900.000 suscriptores. La compañía continuó diciendo que la base de datos violada no contenía contraseñas ni información financiera.
A pesar de que Virgin Media caracterizó los datos accedidos como información de contacto limitada, el Financial Times y la BBC informaron que la base de datos comprometida también incluía detalles de unos 1100 clientes que habían utilizado un formulario en línea para solicitar que se bloquearan o desbloquearan sitios web específicos. Algunos de esos sitios ofrecían contenido relacionado con pornografía, juegos de apuestas y videos extremadamente sangrientos.
“Los registros, vistos por el Financial Times, muestran el sitio web que estaba siendo bloqueado o desbloqueado vinculado a los nombres de los clientes y detalles de contacto”, decía el artículo del FT del viernes. “En algunos casos, eso incluía padres que pedían que se bloquearan los sitios pornográficos para proteger a los niños, y otros usuarios que solicitaban que Virgin Media desbloqueara el acceso a sitios web especializados para adultos”.
La disponibilidad de los datos de los clientes expone a los 900 000 clientes afectados a ataques de phishing selectivo, en los que los estafadores y los atacantes de malware se dirigen a un objetivo por su nombre o adaptan el contenido del correo electrónico a los datos personales del objetivo. Los atacantes a menudo hacen que los correos electrónicos parezcan ser de la empresa que viola los datos, que en este caso es Virgin Media.
Peor aún, el acceso no autorizado a datos confidenciales expone a los otros 1100 clientes afectados a esquemas de extorsión de la misma manera que el devastador ataque de Ashley Madison en 2023, un sitio web que organizaba citas para personas que engañaban a sus cónyuges y parejas románticas, generó una gran cantidad de correos electrónicos. amenazando con publicar detalles íntimos a menos que los suscriptores pagaran una tarifa. Cinco años después, las demandas de extorsión continúan.
Virgin Media dijo que la violación fue el resultado de una configuración incorrecta de la base de datos. The Register, citando un correo electrónico enviado a los clientes afectados, informó que la base de datos no estaba protegida desde al menos abril pasado. Virgin Media dijo que el acceso no autorizado no fue una violación ni un pirateo, sino que fue «como resultado de una configuración incorrecta de la base de datos».
Sin embargo, entre los profesionales de la seguridad, la definición ampliamente aceptada de violación de datos es “un incidente de seguridad en el que un individuo no autorizado copia, transmite, ve, roba o utiliza datos sensibles, protegidos o confidenciales”. Incluso el diccionario Merriam-Webster define el incumplimiento como una “infracción o violación de una ley, obligación, vínculo o norma”. Entonces, lo siento, Virgin Media: una brecha es exactamente lo que sucedió aquí.
