¿Pediste una figura de anime? Ahora toda la Internet conoce tu dirección

La empresa japonesa Good Smile Company, conocida por sus figuras basadas en anime y videojuegos, sufrió una filtración de datos de cientos de miles de clientes debido a un almacenamiento en la nube Amazon Web Services (AWS) Simple Storage Service (S3) mal configurado. El grupo de investigación Cybernews descubrió que la filtración lleva varios meses en curso, exponiendo alrededor de 1,2 millones de archivos de la empresa.

156 archivos CSV y 1058 archivos XLSX en la filtración contienen información confidencial, como nombres completos, direcciones de correo electrónico, apodos, direcciones domiciliarias, detalles de pedidos, direcciones IP y métodos de pago. En total, la filtración afectó los datos de más de 270.000 clientes de Good Smile Company, principalmente de EE.UU. y Canadá.

La filtración se descubrió en abril de este año. A pesar de los numerosos intentos de los investigadores de contactar con la empresa, no tuvieron éxito. Por lo tanto, el problema aún no se ha resuelto y los datos de los compradores siguen filtrándose al dominio público.

Los expertos de Cybernews advierten que la divulgación de información personal puede conducir a ataques de phishing dirigidos. Los delincuentes pueden utilizar los datos obtenidos para enviar correos electrónicos fraudulentos, haciéndose pasar por mensajes oficiales de Good Smile Company, lo que podría empeorar aún más la situación de los clientes.

Además, la información filtrada puede ser utilizada para ingeniería social, donde los estafadores intentan engañar a las víctimas para obtener datos personales adicionales o hacer que hagan acciones que amenacen su seguridad. Algunos servicios solo necesitan una dirección domiciliaria para verificar la identidad, lo que ya puede ayudar significativamente a los delincuentes a acceder a las cuentas existentes de los clientes.

Otro riesgo es la posibilidad del llamado «doxing», cuando la información personal se publica en línea sin permiso. Los estafadores a menudo buscan estos datos en Internet para su posterior uso con fines maliciosos.

Para prevenir filtraciones similares en el futuro, los investigadores de Cybernews recomiendan a Good Smile Company tomar las siguientes medidas:

• Cambiar la configuración de acceso al almacenamiento para limitar el acceso público y garantizar la seguridad de los datos;
• Monitorear los registros de acceso para evaluar la posibilidad de acceso no autorizado;
• Habilitar el cifrado de datos del lado del servidor para proteger los datos en reposo;
• Utilizar el servicio AWS Key Management Service (KMS) para gestionar de forma segura las claves de cifrado;
• Implementar SSL/TLS para proteger los datos durante la transmisión y garantizar una comunicación segura;
• Considerar la implementación de mejores prácticas de seguridad, incluyendo auditorías regulares, verificaciones de seguridad automatizadas y capacitación de empleados.

Good Smile Company, fundada en Japón en 2001, se dedica al desarrollo, marketing y distribución de figuras basadas en anime, manga y videojuegos. Los productos de la empresa son muy populares en Japón, EE.UU. y China.