La plataforma de compras online PandaBuy ha sido víctima de una filtración de datos que habría afectado a más de 1,3 millones de clientes.
Los atacantes se habrían aprovechado de múltiples vulnerabilidades en el servicio para violar sus sistemas, según informa Bleeping Computer.
El actor de amenazas Sanggiero es quien ha reclamado la autoría de este incidente, junto a otro adversario que se hace llamar 'IntelBoker'.
"Los datos fueron robados aprovechando varias vulnerabilidades críticas en la API de la plataforma y se identificaron otros errores que permitían el acceso al servicio interno del sitio web", ha compartido el atacante.
Sanggieron revela que entre los detalles comprometidos había más de 3 millones de ID de usuario, nombres, apellidos, números de teléfono, correos electrónicos, IP de inicio de sesión, datos de pedidos, ID de pedidos, direcciones físicas, códigos postales y países.
Todos estos datos fueron filtrados en un foro y cualquier miembro registrado en el mismo puede hacerse con ellos a cambio de un pago simbólico en criptomonedas.
Para demostrar su 'botín' el actor de amenazas ha publicado una pequeña muestra que contiene direcciones de email, nombres de clientes, números y detalles de pedidos, direcciones de envío, fechas y horas de transacciones e identificaciones de pago.
La brecha es auténtica, pero su impacto es inferior
El agregador de violaciones de datos Have I Been Pwned recoge que un total de 1.348.407 cuentas han quedado expuestas por el incidente.
Troy Hunt, fundador de este último servicio, ha probado las solicitudes de restablecimiento de contraseña usando las direcciones filtradas, confirmando que gran parte de los correos son válidos y, efectivamente, provienen de PandaBuy.
Sin embargo, la cifra de 3 millones que indica el actor de amenazas estaría inflada, puesto que hay cerca de 1,7 millones de direcciones que han sido inventadas y duplicadas.
PandaBuy ayuda a clientes internacionales a adquirir productos online y offline en China. Así, es posible comprar artículos de páginas como JD.com, Tmall o Taobao. La plataforma comparte los datos del envío en tiempo real con los compradores.