Las divulgaciones no autorizadas de datos en Check24 y Verivox exponen direcciones residenciales y detalles de ingresos.
En una reciente revelación, hackers descubrieron que datos sensibles de usuarios estaban públicamente disponibles durante las operaciones de intermediación de créditos realizadas por Check24 y Verivox. Esta filtración de datos sirvió como una invitación abierta a elementos criminales. Un informante dentro del Chaos Computer Club (CCC) señaló el manejo descuidado de los datos de los consumidores.
Según Correctiv, el CCC reveló la existencia de importantes fugas de datos de las plataformas de intermediación de créditos de Check24 y Verivox. Durante un tiempo, detalles de los acuerdos de préstamos, incluyendo detalles de ingresos y números de cuentas bancarias, podían descargarse fácilmente de ambos sitios de comparación. "Cualquiera con una simple búsqueda en internet podría descubrir dónde residen los usuarios, el tamaño de su familia, sus lugares de trabajo, sus niveles de ingresos, sus planes de repayo de préstamos y la información de sus cuentas bancarias", señaló el portavoz del CCC.
Verivox reaccionó rápidamente al incidente, stating que se había solucionado inmediatamente después de la notificación del CCC, y no había evidencia de ningún acceso no autorizado de datos, excepto el soplón. Afirmaron que no se causó ningún daño a sus clientes como resultado de este incidente. El oficial de protección de datos del estado de Baden-Württemberg está investigando actualmente el asunto.
Check24 inicialmente ignoró el problema, pero luego lo corrigió, negando cualquier acceso no autorizado a los archivos y reeducando a su personal.
El informante dice: "Manejo descuidado" de los datos de los clientes
Según el CCC, un experto en TI detectó por primera vez vulnerabilidades en Check24 en julio, seguidas de similares agujeros de seguridad en el sitio de Verivox. Estas omisiones deberían haber sido detectadas durante las revisiones rutinarias. El portavoz del CCC las calificó de "manejo descuidado" de los datos de los consumidores, afirmando que 'agujero de seguridad' es un eufemismo ya que los datos eran accesibles a través de internet sin protección.
Se encontró una segunda brecha de seguridad en Check24, que requería conocimientos técnicos avanzados. Según Correctiv, los datos de los clientes, junto con los enlaces de descarga a los archivos PDF que contenían las ofertas de préstamos, se mostraban públicamente. "Estos archivos contenían detalles como el nombre del usuario, género, detalles de contacto, fecha de nacimiento, nacionalidad, estado de empleo, duración de la residencia, ingresos del hogar, historial de préstamos, estado de alquiler, tamaño de la familia y número de vehículos. Los detalles adicionales de la oferta de préstamo incluían la cantidad del préstamo, los planes de repayo y la información de la cuenta bancaria, incluyendo el IBAN", señaló el CCC.
Ambas empresas fueron informadas del problema a través del CCC. La duración exacta de la fuga y el número de usuarios afectados sigue siendo desconocido. Según Correctiv, Verivox podría haber expuesto potencialmente conjuntos de datos de 75,000 personas. Sin embargo, los expertos no han encontrado ninguna evidencia que sugiera que los datos de los usuarios afectados se han difundido, comercializado o utilizado con fines criminales.
El informante del CCC destacó el problema del "potencial de pirateo" debido al manejo descuidado de los datos de los clientes en las plataformas de Check24 y Verivox. El factor causante fue la falta de identificación y corrección oportuna de las vulnerabilidades, lo que hizo que los datos fueran fácilmente accesibles para los potenciales hackers.
