alphaspirit - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

El sitio comercial de Acer tuvo una brecha de datos de clientes

El fabricante de computadoras Acer se vio afectado por una fuga de datos de su sitio de comercio electrónico, dejando expuestos los datos de contacto y de pago de unos 34,500 clientes durante casi un año.

El fabricante taiwanés de computadoras Acer sufrió una violación de su sitio de comercio electrónico en EE.UU., lo que comprometió la información de pagos de tarjeta de crédito para aproximadamente 34,500 clientes y duró casi un año antes de ser detectada.

Aunque los detalles de la brecha de datos de clientes siguen siendo incompletos, la noticia salió a la luz después de que Acer presentó una carta de "Notificación de Violación de datos" a la oficina del fiscal general de California la semana pasada. Los clientes que utilizaron el sitio de Acer entre el 12 de mayo de 2015 y el 28 de abril de 2016 fueron expuestos. Acer identificó un "problema de seguridad" que "dio lugar a un acceso no autorizado por un tercero", según Mark Groveunder, vicepresidente de servicio al cliente para Acer Service Corporation.

"Nuestro equipo identificó recientemente un incidente de seguridad que afecta la información de ciertos clientes que utilizan nuestro sitio de comercio electrónico en EE.UU.", dijo a SearchSecurity Lisa Emard, directora de relaciones con los medios para Acer America Corporation. "Como resultado, un tercero no autorizado fue capaz de tener acceso a algunos datos de transacciones, incluyendo información de tarjetas de crédito de ciertos clientes que hicieron una compra en el sitio".

En la carta de notificación de violación de datos de clientes, Acer señaló que no se vieron afectadas credenciales de acceso, pero que los datos expuestos "potencialmente" incluyen la información completa de pago: nombre del cliente, dirección, número de tarjeta, fecha de caducidad y códigos de seguridad CVV de tres dígitos. Acer no ofreció monitoreo de crédito gratuito a los clientes afectados, pero instó a los clientes a presentar una denuncia policial si sospechaban que eran víctimas de robo de identidad o fraude, así como a ponerse en contacto con la oficina de su fiscal general del estado o de la Comisión Federal de Comercio de EE.UU. "para conocer las medidas que puede tomar para protegerse contra el robo de identidad".

Stephen Cobb, investigador senior de seguridad de ESET, dijo que la exposición de no solo los números de las tarjetas, sino de las fechas de caducidad y los códigos de seguridad CVV, pone a los clientes afectados en una posición desfavorable. "La información que fue expuesta parece ser suficiente para intentar compras fraudulentas en línea, las cuales, si no se detectan como fraude durante el procesamiento de transacciones, aparecerían en la cuenta del titular", dijo Cobb. "Eso entonces tendría que ser disputado".

Además, Cobb dijo que la duración de la violación de datos de clientes de Acer sugiere lapsos preocupantes en el programa de seguridad empresarial de Acer. "La cantidad de tiempo que la exposición estuvo sin ser detectada es cerca de un año", dijo. "Eso podría significar que Acer no audita sus sistemas más de una vez al año".

Emard dijo que, después de que el problema fue identificado, Acer "tomó medidas inmediatas para solucionar el problema y sigue trabajando con expertos en ciberseguridad externos para mejorar nuestra seguridad. Hemos reportado este problema a nuestro procesador de pagos con tarjeta de crédito. También notificamos a la policía y ofrecimos toda nuestra colaboración. Hemos notificado a los aproximadamente 34,500 clientes cuyos datos pueden haber sido afectados por este incidente. Estos clientes se basan en los EE.UU., Canadá y Puerto Rico".

Acer incluyó una "Guía de Recursos", con su carta de notificación de violación, identificando  recursos adicionales, así como instando a sus clientes afectados a "estar alertas mediante la revisión de sus estados de cuenta y el seguimiento de sus informes gratuitos de crédito".

"Sin duda hay valor en el monitoreo de crédito", dijo Lysa Myers, investigadora de seguridad de ESET. "Pero esto no significa que usar el servicio es la elección correcta para todo el mundo en caso de una violación. Tanto si lo usa o no, yo recomiendo que la gente todavía compruebe su historial de crédito con regularidad. En este caso, podría ser una buena idea poner una alerta de fraude o una congelación del crédito".

Cobb dijo que era posible solo especular por qué "una compañía tan grande cometió un gran error de seguridad de este tipo", a falta de más detalles. Sin embargo, dijo que "fabricar computadoras y venderlas a través de tiendas y distribuidores minoristas, lo que Acer ha estado haciendo durante décadas, no requiere la misma habilidad de seguridad que la venta de productos en línea, lo que la compañía ha estado haciendo durante un período mucho más corto de tiempo".

Próximos pasos

Revise también:

La prevención de brechas es posible: Pescatore, RSA Conference 2015

El desafío del aseguramiento: Cerrar brechas con una arquitectura de seguridad integrada

Los expertos advierten que las brechas en la nube ponen en riesgo la privacidad de los datos

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close