El rescate no ayudó: los hackers vuelven a vender los datos robados de Pandabuy

La plataforma de comercio electrónico china Pandabuy se vio nuevamente golpeada por cibercriminales. La historia demostró que el pago de un rescate a los extorsionistas no garantiza la seguridad. En este artículo, recordaremos brevemente el incidente de abril y discutiremos los eventos de los últimos días.

En abril de este año, un hacker conocido como «Sanggiero» afirmó haber hackeado la plataforma Pandabuy y filtrado los datos de más de 3 millones de clientes. El miembro del foro BreachForums informó que los datos fueron robados explotando varias vulnerabilidades críticas en la plataforma y la API. El cibercriminal afirmó haber actuado junto con otro hacker conocido como «IntelBroker».

Los datos robados en ese momento incluían:

• ID de usuario;
• Nombres y apellidos;
• Números de teléfono;
• Direcciones de correo electrónico;
• Direcciones IP;
• Direcciones residenciales;
• Información de pedidos.

Troy Hunt, fundador del servicio Have I Been Pwned (HIBP), confirmó que de los 3 millones de filas de datos, solo 1,3 millones de direcciones de correo electrónico eran válidas. El resto eran simplemente duplicados. Hunt agregó estas direcciones a la base de datos de HIBP para que los usuarios pudieran verificar si se vieron afectados por este incidente.

A pesar de que los representantes de la plataforma pagaron un rescate a los extorsionistas en abril, el 3 de junio de 2024, el mismo «Sanggiero» volvió a poner a la venta la base de datos robada de Pandabuy por 40.000 dólares. Según él, esta nueva base de datos, que contiene más de 17 millones de filas de datos, es significativamente mayor que el volumen inicialmente declarado. Supuestamente, porque en abril, los hackers deliberadamente pusieron a la venta solo una parte de los datos robados.

Los representantes de Pandabuy reconocieron que la compañía pagó una suma de dinero como rescate al hacker en abril para evitar la filtración de datos de clientes. Sin embargo, como demostró la práctica, la decisión fue imprudente y extremadamente ineficaz en términos de protección de datos.

Debido a la falta de integridad del hacker y la posible difusión de información entre otros cibercriminales, la empresa decidió no cooperar más con «Sanggiero».

La plataforma intentó minimizar la importancia del incidente, afirmando que los datos ofrecidos por «Sanggiero» en junio coinciden con los previamente filtrados. Sin embargo, dado que la nueva base de datos es mucho más grande, esta filtración puede dañar nuevamente a los usuarios de Pandabuy.

Los representantes de la plataforma enfatizaron que todas las vulnerabilidades utilizadas para robar los datos ya han sido resueltas. También en Pandabuy creen que los hackers podrían haber estado vendiendo secretamente los datos a otros cibercriminales inmediatamente después de pagar el rescate en abril.

Esta situación resalta una vez más que la cooperación con cibercriminales no garantiza la seguridad de los datos. Incluso después de cumplir con las demandas de los ciberdelincuentes, incluido el pago de un rescate, la víctima puede ser objeto de extorsión y chantaje nuevamente.