La persona que afirmó haber robado las direcciones físicas de 49 millones de clientes de Dell parece haber tomado más datos de otro portal de Dell, según ha aprendido TechCrunch.
Los nuevos datos comprometidos incluyen nombres, números de teléfono y direcciones de correo electrónico de los clientes de Dell. Estos datos personales se encuentran en los "informes de servicio" de los clientes, que también incluyen información sobre hardware y piezas de repuesto, comentarios de los ingenieros in situ, números de despacho y, en algunos casos, registros de diagnóstico cargados desde la computadora del cliente.
Varios informes vistos por TechCrunch contienen imágenes aparentemente tomadas por los clientes y subidas a Dell en busca de soporte técnico. Algunas de estas imágenes contienen metadatos que revelan las coordenadas GPS exactas del lugar donde el cliente tomó las fotos, según una muestra de los datos extraídos obtenidos por TechCrunch.
TechCrunch ha confirmado que la información personal de los clientes parece ser auténtica.
Esta es la segunda revelación de datos de clientes de Dell expuestos en las últimas dos semanas. La semana pasada, Dell notificó a los clientes que había experimentado una violación de datos, diciendo en un correo electrónico que la gigante tecnológica estaba investigando "un incidente relacionado con un portal de Dell, que contiene una base de datos con tipos limitados de información de cliente relacionada con compras en Dell."
Los datos robados incluían nombres y direcciones físicas de los clientes, así como datos menos sensibles, como "información sobre hardware y pedidos de Dell, incluido el tag de servicio, descripción del artículo, fecha del pedido e información de garantía relacionada"
Dell minimizó la violación en ese momento, diciendo que la filtración de direcciones de clientes no representaba "un riesgo significativo para nuestros clientes" y que la información robada no incluía "ninguna información altamente sensible del cliente", como direcciones de correo electrónico y números de teléfono.
Una persona que se hace llamar Menelik se atribuyó la responsabilidad de ambas violaciones de datos. En una entrevista con TechCrunch, Menelik proporcionó una muestra de los datos que robó, lo que permitió a TechCrunch verificar que los datos eran legítimos. Menelik también proporcionó copias de correos electrónicos que envió a Dell, y la compañía confirmó a TechCrunch que recibió un correo electrónico sobre la violación de datos de Menelik.
Ahora, parece que Menelik encontró otra falla en otro portal de Dell, que le permitió extraer más datos de clientes.
"Encontré algo de datos de correo electrónico y número de teléfono", dijo Menelik a TechCrunch. "Pero aún no voy a hacer nada con eso. Quiero ver cómo responde Dell al tema actual."
Un día después de la publicación de este artículo, un portavoz no identificado de Dell dijo a TechCrunch que la empresa está al tanto de los informes y está investigando.
Menelik dijo que había extraído los datos de alrededor de 30,000 clientes de EE. UU., y dijo que las fallas que está explotando son similares a los errores que le permitieron obtener la primera ronda de 49 millones de registros de clientes. Pero esta segunda vulnerabilidad le impide recopilar los datos tan rápidamente como durante la primera violación.
Como informó TechCrunch, en la primera violación, Menelik dijo que pudo extraer los datos de los clientes de Dell de un portal donde registró varias cuentas como "socio", lo que significa que fingió dirigir empresas que revenden productos o servicios de Dell. Una vez que Dell aprobó sus solicitudes, Menelik dijo que pudo forzar bruscamente las etiquetas de servicio al cliente, que están compuestas por siete dígitos de solo números y consonantes.
Menelik publicó un anuncio en un conocido foro de hacking intentando vender los datos. Hasta la redacción de este artículo, el anuncio ha sido eliminado, y Menelik dijo que se debe a que vendió los datos, aunque se negó a decir por cuánto.
Al preguntarle qué planea hacer con los nuevos datos, Menelik dijo que aún no ha decidido.
Dado que algunos de los datos extraídos contienen información personal sobre clientes en la Unión Europea, TechCrunch se puso en contacto con la autoridad nacional de protección de datos de Irlanda, que no respondió de inmediato a una solicitud de comentario.
ACTUALIZACIÓN, miércoles 15 de mayo, 2:45 p. m. ET: Esta historia se actualizó para incluir el comentario de Dell.
Contáctenos
¿Sabe más sobre este hackeo de Dell? ¿O sobre violaciones de datos similares? Desde un dispositivo que no sea de trabajo, puede contactar a Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede ponerse en contacto con TechCrunch a través de SecureDrop.
