Bajo el lema "Que confianza Online pueden OFRECER cuando ellos no son ni seguros" y aproximadamente a la 1:45 de la madrugada, han publicado en la web de Confianza Online un extracto de la base de datos de los usuarios solicitadores de cursos de Inteco (https://formacion-online.inteco.es/) y un enlace para la descarga de un fichero con m谩s de 20.000 nombres, apellidos y n煤meros de tel茅fono de las personas que han introducido sus datos en los formularios de inscripci贸n.Todav铆a se desconocen el autor y los detalles t茅cnicos de la explotaci贸n...
Actualizaci贸n1: A las 20:20 recib铆 el siguiente correo de Inteco informando:
de formacion-online@inteco.es
para usuario
fecha 6 de junio de 2011 20:20
asunto Importante. Mensaje para los usuarios de la plataforma de formaci贸n en l铆nea de INTECO.
enviado por inteco.es
"Estimado/a usuario/a:
Nos ponemos en contacto con usted para comunicarle que INTECO ha sufrido un incidente de seguridad que ha provocado una sustracci贸n de datos de informaci贸n personal de la base de datos de usuarios de nuestra plataforma de formaci贸n en l铆nea. Los datos que han sido robados son aquellos que nos facilit贸 usted durante el proceso de registro, entre los que pueden estar:
- Nombre y apellidos.
- N煤mero de tel茅fono.
- DNI.
- Correo electr贸nico.
Hemos procedido a bloquear el acceso a la plataforma de formaci贸n hasta que el problema haya sido resuelto y se pueda garantizar su seguridad. Le informaremos tan pronto se reanude el servicio de modo que pueda continuar con su actividad formativa.
Existe el riesgo de que la informaci贸n sustra铆da pudiera ser empleada con fines maliciosos. Por ese motivo, le recomendamos que siga los siguientes consejos de seguridad:
1. Desde INTECO nunca se le solicitar谩 informaci贸n de car谩cter personal por correo electr贸nico o tel茅fono. No responda a ninguna petici贸n de informaci贸n de estas caracter铆sticas.
2. No haga clic en enlaces incluidos en mensajes de correo electr贸nico, mensajes SMS o MMS cuyo origen no sea confiable.
3. Mantenga su equipo adecuadamente protegido con aplicaciones de seguridad y debidamente actualizado con los parches recomendados por el fabricante.
4. Ante cualquier duda, p贸ngase en contacto con INTECO en la direcci贸n de correo incidencias@cert.inteco.es
Desde INTECO queremos pedirle disculpas por los inconvenientes causados y nos ponemos a su disposici贸n para resolver cualquier duda que pueda surgirle.
Reciba un cordial saludo."
Estaremos atentos si recibimos cualquier otra informaci贸n de INTECO o del BIT (¡谩nimo chicos!).
Actualizaci贸n2: Otro correo de Inteco informando (gracias):
"de formacion formacion@cert.inteco.es
para usuarios-formacion@cert.inteco.es
fecha 13 de junio de 2011 20:13
asunto Actualizaci贸n de informaci贸n sobre el incidente de INTECO
lista de distribuci贸n usuarios-formacion.cert.inteco.es Filtrar los mensajes de esta lista de distribuci贸n
enviado por cert.inteco.es
firmado por cert.inteco.es
ocultar detalles 20:13 (hace 21 horas)
Estimado/a usuario/a:
Desde el Instituto Nacional de Tecnolog铆a de la Comunicaci贸n (INTECO)
nos ponemos nuevamente en contacto con Vd. para continuar inform谩ndole
sobre la apropiaci贸n de datos de la plataforma de tele-formaci贸n del
Instituto, en la que Vd. est谩 inscrito.
Una vez m谩s queremos insistir en que lamentamos los hechos sucedidos.
Desde INTECO nos ponemos a su disposici贸n para ayudarle en cualquier
duda que le pueda surgir, as铆 como para informarle en la defensa sus
intereses, da帽ados por este ataque, al igual que lo han sido los
nuestros. Por ello, le rogamos que cualquier duda que pueda tener o
comentario que desee transmitirnos, lo haga llegar a la direcci贸n
incidencias@cert.inteco.es desde la que le daremos una respuesta
personalizada.
Queremos indicarle que, desde el momento en que conocimos la publicaci贸n
de los datos en Internet, hemos sido los principales interesados en
evitar en lo posible su difusi贸n y en esclarecer los hechos. Por ello,
parti贸 de nosotros presentar denuncia ante la Polic铆a para su
investigaci贸n por la Brigada de Investigaci贸n Tecnol贸gica de la Polic铆a,
as铆 como poner el hecho en conocimiento de la Agencia Espa帽ola de
Protecci贸n de Datos quienes recibieron nuestra notificaci贸n el propio
lunes, d铆a 6 y de los propios afectados. El mismo d铆a tambi茅n comenzamos
un an谩lisis forense con el fin de detectar el origen del ataque y las
causas que han determinado la difusi贸n de estos datos y solicitamos la
colaboraci贸n de otros CERTs para la supresi贸n de los contenidos
il铆citamente sustra铆dos de distintas webs.
Queremos que tenga claro que el ataque 煤nicamente ha afectado a nuestra
plataforma de formaci贸n en l铆nea, lo que representa una peque帽a parte de
nuestros servicios. En ning煤n caso se han visto comprometidos el resto
de servicios de INTECO.
Asimismo, es importante que sepa que los datos personales contenidos en
la plataforma son de “nivel b谩sico”, seg煤n la terminolog铆a de la Ley
Org谩nica de Protecci贸n de Datos de car谩cter personal (LOPD), y que los
atacantes solo han efectuado una descarga parcial de estos datos, entre
los cuales no hay ninguno de car谩cter econ贸mico (n煤meros de cuentas
corrientes, tarjetas de cr茅dito, etc.), ya que, como Vd. recordar谩, no
se solicitan en el registro en la plataforma. Tampoco se han sustra铆do
las cuentas de correo electr贸nico, contrase帽as de la plataforma ni el
n煤mero de identificaci贸n personal (DNI, pasaporte, etc.).
Los datos sustra铆dos, seg煤n hemos podido confirmar con la investigaci贸n
que estamos llevando a cabo, son los siguientes:
* nombre y apellidos
* tel茅fono
* direcci贸n postal
* sexo y fecha de nacimiento
Todo esto, en el supuesto de que Vd. los hubiera proporcionado, ya que
s贸lo era obligatorio introducir: nombre, apellidos y correo electr贸nico
(este 煤ltimo dato no ha sido sustra铆do). (*)
Para poder analizar las causas y la repercusi贸n del incidente, desde
INTECO consideramos que es necesario esperar a la conclusi贸n del
an谩lisis forense, actualmente en curso, y al resultado de las
averiguaciones policiales y judiciales con el objetivo de no comprometer
la investigaci贸n.
Una vez concluyan estas investigaciones y a la vista de sus hallazgos,
reiniciaremos la prestaci贸n del servicio con toda normalidad. Adem谩s, le
avanzamos que est谩 previsto que se realice en una nueva plataforma de
formaci贸n, cuyo desarrollo est谩 a punto de finalizar, reforzando incluso
m谩s todas las garant铆as de seguridad dispuestas.
Desde INTECO le pedimos que este incidente, que por desgracia puede
ocurrir en todo tipo de organizaciones, no empa帽e la confianza que Vd.
ten铆a depositada en nosotros.
Disculpe de nuevo las molestias ocasionadas por este incidente. Muchas
gracias por su comprensi贸n.
Reciba un saludo.
(*) Le informamos que, si lo desea, puede ejercer los derechos ARCO
contemplados en la legislaci贸n de protecci贸n de datos, en la forma
especificada en el aviso legal de INTECO, con los requisitos de
identificaci贸n previstos en el Reglamento de desarrollo de la LOPD.
Si desea verificar la validez de la firma digital de este mensaje
necesita instalar el certificado ra铆z de INTECO-CERT desde
http://cert.inteco.es/Acerca_de/Certificado_digital/."
Noticias frescas, adem谩s el enlace para la descarga permanece activo. xD
ResponderEliminarsi @lost-perdidos, el enlace lleva ya casi 24 horas y me sorprende que todav铆a no lo hayan quitado :-S
ResponderEliminarDejo tb el comunicado oficial de Inteco: www.inteco.es/Prensa/Actualidad_INTECO/robo_datos
Ah, genial entonces... :S ¡Gracias por la info!
ResponderEliminar