Naruszenie GoDaddy ujawnia 12 milionów kont

SevenRooms, un proveedor de plataforma de gestión de clientes (CRM) para restaurantes, ha confirmado que un ciberdelincuente logró obtener datos confidenciales de los clientes desde sus terminales (se abre en una nueva pestaña).

En una declaración a BleepingComputer, un portavoz de la compañía dijo que «recientemente se enteró de que se accedió sin permiso a una interfaz de transferencia de archivos de un tercero».

«Esto puede haber afectado ciertos documentos transferidos a o por SevenRooms, incluido el intercambio de credenciales API (ahora vencidas) y ciertos datos de invitados, que pueden incluir nombres, direcciones de correo electrónico y números de teléfono».

Dochodzenie w toku

La compañía también dijo que sus sistemas no fueron pirateados directamente en el incidente: «Inmediatamente deshabilitamos el acceso a la interfaz, iniciamos una investigación interna y actualmente no tenemos evidencia de que ninguna base de datos propietaria de SevenRooms haya sido afectada», dijo el portavoz.

«Hemos contratado a expertos independientes en seguridad cibernética para que nos ayuden con esta investigación y proporcionaremos actualizaciones adicionales según sea necesario». La empresa no dijo qué empresa fue contratada para realizar el análisis forense.

Sin embargo, cualquiera que logró acceder a la base de datos lo anunció más tarde en el foro de piratería de Breached, publicando un hilo que decía que tenía una base de datos de respaldo de 427 GB, que contenía miles de archivos con información sobre los clientes de SevenRooms.

Según BleepingComputer, los clientes de la empresa incluyen MGM Resorts, Bloomin’ Brands, Mandarin Oriental, Wolgang Puck y otros. La lista de clientes es bastante larga y, aunque SevenRooms no especificó qué empresas se vieron afectadas, solo podemos esperar a que los restaurantes individuales brinden más detalles.

Los atacantes publicaron una muestra que contenía claves API, códigos promocionales, informes de pago y listas de reservas, entre otras cosas. Los datos de pago, como información de tarjetas de crédito, datos de cuentas bancarias, números de seguro social o similares, no se vieron comprometidos, ya que la empresa no los almacena en los servidores afectados, a- Se agregó.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to