¡Los antiguos clientes de Redbox están en potencial peligro! Esto se supo luego de que una programadora encontrara fallos en la seguridad de las famosas máquinas para alquiler de DVD y streaming. Los kioskos de esta compañía se han convertido en una amenaza debido a la información sensible que contienen.
Lo anterior, es un hecho que ha tomado por sorpresa a muchos de los usuarios. Tras el cierre de la empresa, sus famosas cabinas se han convertido en una gran problemática. Ciberdelincuentes podrían usar los datos almacenados para robar identidades, hacer pishing, realizar transacciones o venderlos.
Clientes de Redbox posibles víctimas de robos de datos
Problemas de privacidad y un potencial hackeo en puerta, los antiguos clientes de Redbox se están enfrentando a esta preocupante situación. Luego de que la experta en programación Foone Turing* develará el problema. Para ello, aplicó ingeniería inversa, dándose cuenta que existía una gran vulnerabilidad.
Los famosos kioskos de alquiler para DVD muestran fallos de seguridad y mantienen dentro de sí importante información de antiguos usuarios. Así lo declaró esta especialista, quien tuvo acceso a data que se remonta al año 2015, junto a más de 2,000 operaciones realizadas; todo en una sola máquina.
Incluso, fue capaz de rastrear a un usuario específico que hace una década había alquilado películas usando este servicio. En su investigación, consiguió datos como nombre del usuario, código postal y películas que había rentado. El lugar de procedencia del dispositivo era Morganton, Carolina del Norte. Declaró al medio de tecnología Ars Technica indicando que no fue necesario sacar la información de los clientes de Redbox propiamente de un kiosko. Para realizar el proceso de extracción se valió de la red Discord y un disco duro.
La raíz del problema
Cabe resaltar que en todo Estados Unidos existen unas 24 mil cabinas como estas que ofrecían servicios a los clientes de Rexbox. Eso implica una gran cantidad de información expuesta en todo el país.
En dichas cabinas se encuentran almacenados datos personales, direcciones de email, domicilios particulares, registros de transacciones, así como códigos parciales de tarjetas de crédito, que incluyen los primeros seis dígitos y los últimos cuatro. También detalles de tipo inferior de las operaciones realizadas.
Los mismos, no tienen una protección rigurosa, así que podría ser relativamente simple extraerlos usando un editor hexadecimal. Este último, es una herramienta que permite alterar datos de archivos a nivel de bytes, recuperar folders y fichas que estos posean, así como aplicar ingeniería inversa.
Usándolo, es factible descifrar la información; aunado a lo anterior, la experta añade que el dispositivo debe arrancar solo. Eso quiere decir que no se añaden códigos, ni contraseñas adicionales.
Pese a que el sistema estaba vinculado a canales de pagos avalados, igual existen datos sueltos que pueden ser fuente de información relevante para los hackers. Esto se debe a que es bastante simple realizar un cruzamiento de los mismos. Por lo que millones de personas están expuestos a que sus antecedentes sean robados y usados de forma fraudulenta o vendidos en la deep web.
Algunos expertos señalan que los datos podrían estar instalados en la máquina de forma local, pero que no se hayan subido a la nube de haber ocurrido interrupciones online. Esto debido a que durante un tiempo los kioskos siguieron prestando servicio a los clientes de Redbox sin una buena conexión a internet.
El problema con eso, es que ya algunos discos han sido cargados, precisamente la programadora pudo realizar la extracción usando uno de ellos. La misma experta comentó a la red Mastodon que el tipo de encriptación usado por la empresa es bastante básico. Es decir, que, a su juicio, descifrar estas máquinas sería una tarea relativamente simple para un hacker con conocimientos.
Redbox y su filial ¿qué medidas ha tomado?
La empresa matriz Chicken Soup for the Soul se declaró en quiebra el pasado junio, amparándose en el capítulo 7 de bancarrotas*. Es decir, que han liquidado completamente la compañía y vendido sus activos. Lo cual, incluyó todos los kioskos con los que los clientes de Redbox obtenían el servicio.
El juez Thomas Horan, del distrito de Delaware*, se encargó de aceptar la petición de la compañía, ya que se encontraban imposibilitados para pagar sus obligaciones. Lo cual, trajo como consecuencia despidos masivos y el impago de indemnizaciones para los trabajadores.
Incluso, todavía existe una morosidad ante las grandes cadenas comerciales donde se encontraban los kioskos. Igualmente, con las corporaciones de entretenimiento dueñas de los derechos de las películas que eran rentadas.
¿Qué pasa con los clientes de Redbox?
No obstante, para sus usuarios este no es el final, porque podrían encontrarse frente a una verdadera pesadilla. A solo meses de este hecho, la compañía sigue causando polémica. Esta corporación hasta ahora no ha tomado medidas para resolver el problema o resguardar la información de los clientes de Redbox. Para empeorar la situación, algunas de las cabinas han sido rematadas y adquiridas como piezas de colección, convirtiéndose en objetos bastante cotizados para algunos aficionados.
En el periódico Wall Street Journal se informó que un joven compró una de ellas a un contratista que debía retirar el dispositivo. Aunque en este caso se trata de un ávido fanático, algunas podrían ser compradas por personas inescrupulosas. Lo cual es una fuente de riesgo para todos los implicados.
Estos no han recibido ninguna información respecto a medidas que se puedan tomar para evitar vulneraciones o reducir el margen de riesgos. Estos tampoco cuentan con opciones legales al momento de plantear su situación o introducir una demanda civil, ya que la empresa está en bancarrota.
Hasta ahora la compañía matriz, que adquirió Redbox en el 2022 por $370 millones, solo ha procedido a retirar los kioskos. No se ha encargado de eliminar la información previamente, ni asegurarse que estos sean debidamente desechados y que nadie tenga acceso a la data.
¿Qué hacer para protegerse de un posible robo a clientes de Redbox?
Ante este grave fallo de seguridad qué pueden hacer los clientes de Redbox. Estos tienen como opción tomar ciertas medidas preventivas que les ayuden a reducir el riesgo de ser objeto de vulneraciones. Algunas acciones como las siguientes podrían ayudar.
- • Revisar los estados de cuenta y estar al tanto de operaciones desconocidas que puedan provenir de fuentes fraudulentas.
- • Cambiar todas las contraseñas y emplear opciones de alta seguridad. Se deben emplear solo aquellas que sean fuertes, lo cual hará más difícil ser objeto de una violación. También es importante adoptar una autenticación de dos pasos o multifactor.
- • Nunca se debe hacer clic en ningún enlace extraño recibido por correo eléctrico o alguna red social. Tampoco es recomendable ingresar en URL que puedan parecer sospechosas.
- • Es importante mantenerse informado acerca de los avances que tiene el caso, así como de posibles medidas que pueda tomar la compañía para aportar una resolución a la problemática.
Resulta preocupante que haya sido una programadora quien informara de la situación y no la propia empresa. Esta es una muestra de lo peligroso que es usar datos personales en estas plataformas, también de lo poco que algunas empresas se preocupan por brindar una buena seguridad a sus usuarios.
Pero, no es un suceso aislado, de hecho, los problemas de seguridad corporativos son una tendencia que va en alza. El incremento en el número de estas acciones delictivas hace que la vulneración a clientes de RedBox se torne aún más alarmante.
Sofisticados sistemas de ciberrobo ante medidas de seguridad deficientes. Esto deja a las personas en una situación comprometida y en un estado de preocupación constante. Resulta bastante sorprendente que empresas acreditadas no cuenten con sistemas de seguridad más avanzados. Como la autenticación multifactor, entre otros procesos y buenas prácticas que dificultan el acceso a las datas por parte de individuos o grupos malintencionados.
Futuro de la problemática
¿Cómo seguirá evolucionando la problemática? Será necesario esperar las declaraciones de Chicken Soup for the Soul para saberlo y conocer si se prestará algún tipo de recomendación o ayuda a las personas en riesgo. La empresa ha pasado a la historia, no así la información de los clientes de Redbox que sigue circulando y estando expuesta. Podría ser cuestión de tiempo para que surjan reportes acerca de alguna vulneración relacionada.
Si tu información ha sido vulnerada en casos como estos donde se presentan brechas de seguridad, puede que tengas un caso en tus manos. También puede que ya Morgan & Morgan se encuentre al frente de algunas de estas demandas colectivas donde muchos usuarios se han visto afectados y se presenta una demanda en grupo. Contáctanos a la brevedad posible, muchos de estos casos tienen tiempos limites para presentar reclamos. Llámanos hoy, nuestro equipo habla tu idioma y podremos ofrecerte las opciones legales que tengamos disponibles para tu caso. La consulta es totalmente gratuita.
En Morgan & Morgan, hablamos tu idioma.
*Enlaces disponibles en inglés.