La multinacional española de telecomunicaciones, Telefónica, que opera en 12 países y cuenta con más de 104.000 empleados, ha confirmado una vulneración en su sistema de tickets interno después de que se filtraran datos robados en un foro de hacking.
Telefónica es la mayor empresa de telecomunicaciones de España y opera bajo el nombre de Movistar. La compañía ha admitido que su sistema de tickets fue vulnerado y está investigando el incidente.
«Tenemos conocimiento de un acceso no autorizado a un sistema interno de tickets que utilizamos en Telefónica», dijo la empresa en un comunicado.
«Actualmente estamos investigando el alcance del incidente y hemos tomado las medidas necesarias para bloquear cualquier acceso no autorizado al sistema».
Esta confesión se produjo después de que una base de datos Jira de Telefónica fuera filtrada en un foro de hacking, donde cuatro personas reclamaron la brecha utilizando los alias DNA, Grep, Pryx y Rey.
Uno de los atacantes, Pryx, reveló que el «sistema interno de ticketing» era un servidor Jira interno de desarrollo y ticketing utilizado por la compañía para informar y resolver problemas internos.
El sistema fue vulnerado utilizando credenciales de empleados comprometidas y Telefónica bloqueó su acceso después de realizar restablecimientos de contraseña en las cuentas afectadas.
Utilizando las cuentas comprometidas de los empleados, los autores de la amenaza afirmaron que fueron capaces de extraer aproximadamente 2.3 GB de documentos, tickets y otra información.
Aunque algunos de estos datos estaban etiquetados como clientes, informaron que los tickets se abrieron con direcciones de correo electrónico @telefonica.com, por lo que pudieron haber sido tickets abiertos en nombre de clientes.
Pryx afirmó que no se puso en contacto con la empresa ni intentó extorsionarla antes de filtrar los datos en Internet.
Las tres personas detrás de este ataque, Grep, Pryx y Rey, son también miembros de una operación de ransomware lanzada recientemente conocida como Hellcat Ransomware. Hellcat es responsable de una reciente brecha en Schneider Electric, donde se robaron 40 GB de datos del servidor JIRA de la empresa.
Esta no es la primera vez que Telefónica enfrenta un incidente de seguridad. La empresa ha sido objeto de varios ataques cibernéticos en el pasado y ha tenido que tomar medidas para proteger sus sistemas y datos.
Actualización:
Malware infostealer y tácticas de ingeniería social
Ha surgido nueva información que indica que la brecha fue facilitada por una combinación de malware infostealer y sofisticadas técnicas de ingeniería social.
Los investigadores de Hudson Rock hablaron con los autores de la amenaza y, según ellos, se utilizó malware infostealer privado para comprometer a más de 15 empleados. Esto proporcionó a los atacantes credenciales críticas que les permitieron obtener el acceso inicial.
