El gigante automotriz estadounidense General Motors (GM) confirmó que un grupo de hackers logró canjear los puntos de recompensa acumulados por algunos de sus clientes a través de un ataque de relleno de credenciales.
El ataque fue desplegado a través de una plataforma en línea operada por GM en la que los propietarios de vehículos Chevrolet, Buick y Cadillac pueden administrar pagos, facturas y registrar sus puntos de recompensa, que pueden ser canjeados por descuentos y otros beneficios.
Según el reporte, la actividad maliciosa ocurrió entre el 11 y el 29 de abril, cuando los actores de amenazas pudieron tomar control de algunas tarjetas de regalo. La compañía comenzó a alertar a sus clientes al detectar el compromiso: “Le escribimos para dar seguimiento a nuestro correo electrónico, informándole de un incidente de datos relacionado con la identificación de un canje reciente de sus puntos de recompensa que parece no tener su autorización”.
El fabricante menciona que los puntos canjeados por los actores de amenazas serán restituidos, además de mencionar que los hackers detrás del incidente emplearon la variante de ataque conocida como relleno de credenciales.
Estos ataques se presentan cuando los actores de amenazas usan grandes conjuntos de nombres de usuario y contraseñas expuestas en incidentes de seguridad previos, en un intento por acceder a cuentas de diversas plataformas en línea. GM agrega que no hay evidencia de que la información usada para el relleno de credenciales haya sido extraída de sus sistemas.
Lo más preocupante en términos de ciberseguridad es que las cuentas en esta plataforma de GM resguardan gran cantidad de información personal, incluyendo nombres completos, dirección email, números telefónicos, foto de perfil y última ubicación guardada.
Aunque las brechas de datos pueden resultar de gran utilidad para el despliegue de actividad fraudulenta en línea, el sitio web no resguarda información crítica como fechas de nacimiento, números de seguridad social, números de tarjetas de pago y cuentas bancarias, lo que reduce considerablemente el riesgo de ataque.
GM restableció las contraseñas de todos los usuarios que tienen una cuenta en esta plataforma, además recomienda a los usuarios que tomen medidas de seguridad adicionales para la protección de otras cuentas en línea.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.