El pasado 19 de julio, se filtraron todas las informaciones personales de 100 millones de norteamericanos y 6 millones de canadienses luego de un ataque al sistema del banco Capital One. El acceso del hacker fue el 22 de marzo, y la situación se tornó aún más complicada: un contenido sobre los métodos del ataque estuvo disponible en el repositorio GitHub desde el 21 de abril por casi tres meses sin que nadie lo detectara o eliminara.
Capital One comunicó la filtración de los datos diez días después de haber encontrado la falla, siendo bastante transparente en cuanto a los aproximadamente 106 millones de clientes afectados. El comunicado informaba que los datos a los que habían accedido contenían datos de consumidores que se registraron para la adquisición de tarjetas de crédito.
En la filtración, la empresa informó que había puntuaciones y límites de crédito, histórico de transacciones y pagos, e informaciones de contacto. También se comunicó, aunque en menor cantidad, las filtraciones de números de seguridad social y de cuentas bancarias.
La filtración se descubrió luego de una notificación realizada el día 17 de julio por parte de un investigador de seguridad. Dos días después, la empresa encontró la falla y la fecha correcta del acceso indebido, el 22 y 23 de marzo.
Ahora, una nueva acción judicial señala que, además de Capital One, GitHub también tiene su parte de culpa en toda esta situación: según el proceso, los números de tarjetas de crédito y de seguridad social fueron expuestos el 21 de abril sin que el repositorio haga nada.
De acuerdo con el documento, GitHub sería un “favorecedor de hackers”, ya que esas informaciones deberían haber sido fácilmente identificables por contener un patrón de números. Tanto la plataforma como Capital One, sin embargo, afirmaron que en el sitio solamente estaban alojadas las informaciones sobre el método que empleó el hacker para acceder al sistema de la financiera.
De cualquier forma, ninguna de las partes negó que la “llave” que podría posibilitar muchos más daños estaba, de hecho, en GitHub. También es innegable que estos datos deberían haber sido identificados de forma más rápida y eficiente. ¿Pero cómo y por quién?
Filtración de tarjetas de crédito, de credenciales o de códigos de programación: la dimensión de la comunidad GitHub no puede pasar desapercibida, y debe ser observada y monitoreada por empresas que cuiden de sus datos sensibles y de sus clientes.
GitHub es un de los cinco sitios que contienen más datos sensibles expuestos, monitoreados y eliminados por Axur. No es para menos: en él, existen innumerables menciones a marcas y empresas (algunas de ellas, inclusive, en perfiles oficiales de GitHub). De esta forma, no es nada raro que entre tantos códigos y textos existan infracciones capaces de causar daños financieros, tal como sucede en cualquier lugar de la internet que incluya colaboración entre usuarios.
Dos problemas principales atraviesan la cuestión de la filtración de datos de Capital One: la falta de una legislación adecuada para la protección de datos en los Estados Unidos y, también, la falta de un monitoreo y reacción que sean adecuados a la actividad de la ciberdelincuencia.
Es notorio cómo filtraciones tan significativas como la de Capital One se están volviendo algo recurrente. También es visible que las nuevas normativas están señalando la responsabilidad de las empresas sobre los datos de sus clientes, como en las leyes locales y la europea GDPR (General Data Protection Regulation).
En los Estados Unidos, este tipo de normativa aún no existe (a no ser por la California Consumer Privacy Act of 2018, que aún no se ha implementado). Según especialistas, la falta de una acción correcta luego de la también gigantesca filtración de Equifax, en 2017, muestra que este tipo de problemas tiende a persistir. Y, sin lugar a duda, las empresas no deberían quedarse a la espera de una normativa para hacerse responsables por los datos de sus clientes.
El uso de herramientas adecuadas para la detección de códigos y otros tipos de filtraciones en una plataforma como GitHub es indispensable para empresas que se preocupan por la proactividad en la identificación y eliminación de este tipo de casos. Más allá de legislaciones, evitar que una falla de seguridad quede expuesta por meses, forma parte del proceso de preocupación por la experiencia del consumidor en el ambiente on-line.
En Axur, nuestros robots previenen todo tipo de exposición indebida de datos de marca, todos los días de la semana, las 24 horas del día. Con la solución para Filtración de códigos de programación usted consigue visualizarlas en Axur One (una plataforma simple e intuitiva) y solicitar la eliminación de todas las infracciones contra su marca y filtraciones de datos en lugares como GitHub, evitando así futuros dolores de cabeza.