Brecha de seguridad (Emagister...)

Question

Brecha de seguridad (Emagister...)

SVA 20 dic 2023 08:32

MegaAdicto!!!

3.445 mensajes
desde nov 2006
en mi mundo

Hola,

Me ha llegado este correo por un fallo de seguridad en la plataforma Emagister (la de los cursos online y demás):

Estimado usuario,

Le informamos que en fecha 15 de diciembre de 2023 se detectó una brecha de seguridad debido a una ejecución remota de código.

La brecha de seguridad se produjo por un aprovechamiento de una vulnerabilidad en una de las librerías usadas en Emagister y consistió en la ejecución de un código no permitido desde nuestros servidores.

Dicho incidente afectó a sus datos personales tales como nombre, apellidos, género, correo electrónico, fecha de nacimiento, número de teléfono, domicilio o código postal y se ha detectado que ello le podría afectar debido a que puede suponer pérdida de control sobre sus datos personales, reidentificación no autorizada, pérdida de confidencialidad de datos afectados. Asimismo, hemos determinado que la gravedad de las consecuencias expuestas es baja.

Nos tomamos su privacidad muy en serio y por ello hemos tomado todas las medidas que se encuentran a nuestro alcance para solucionar el incidente y minimizar los posibles daños que eventualmente le pueda causar. Por ello hemos procedido a tomar todas las medidas necesarias para que no se vuelva a repetir una vez analizado el problema.

De igual manera, en aras de cumplir con el principio de transparencia hemos comunicado la brecha de seguridad a la Agencia Española de Protección de Datos y hemos redactado un informe a nivel interno donde se detalla el proceso de gestión de la brecha de seguridad.

Si desea obtener más información acerca de la gestión del incidente puede contactar con nosotros mediante el correo soporteusuario@emagister.com

Saludos cordiales.
Equipo Emagister

A nivel general ya no sólo en este caso de Emagister, ¿sabeis si este tipo de fallos son denunciables por parte del usuario y si hay derecho a algún tipo de compensación o similar? Me toca los cojones que pasen estas cosas, te envién un correo de disculpas, pero parece que no pasa nada más y se van de rositas.

Un saludo

3 respuestas

Answer 1 · 2023-12-20T10:41:23+00:00

Yo fui uno de los afectados del caso de Air Europa, pregunté en varios sitios y a varios amigos abogados, y nada, si demuestran que ellos tenían todas las medidas necesarias y no ha habido negligencia, no se puede hacer nada. Habría que ver si es el caso de emagister pero.

Teuti 20 dic 2023 12:22 MegaAdicto!!! **2.051** mensajes desde **may 2015** · Answer 2 · 2023-12-20T11:22:45+00:00

Tiene huevos que les dumpeen la base de datos y ellos mismos cataloguen la "gravedad de las consecuencias" como "baja".

Un RCE es la peor consecuencia de una brecha, y salvo que aprovechasen una vulnerabilidad de día cero, es un indicativo de que se pasaron la seguridad por el forro, como hacen en todos lados.
Echarle la culpa a una librería externa que no depende de ti es muy cómodo para librarse de configurar y mantener barreras adicionales una vez alguien consigue acceso.
Por qué se fue capaz de escalar privilegios una vez alguien accede de forma ilícita? Como obtuvieron las credenciales del administrador para secuestrar la base de datos?

Jeta de hormigón armado

Answer 3 · 2023-12-23T10:46:40+00:00

Ya suponía yo que meras disculpas y poco más. Gracias igualmente por los aportes.