Han hackeado Sprinter

B

https://www.adslzone.net/noticias/seguridad/sprinter-brecha-seguridad-filtra-datos-clientes-1123/

Me acaba de llegar un email sino ni me entero, han robado los datos de todos los clientes registrados entre los que se incluyen:

  • ID
  • Nombre completo
  • Tu dirección de envío y factura
  • Email
  • Teléfono
  • DNI
  • Fecha de nacimiento

Me cago en sus p*** madres, más datos para que me sigan enviando phising. No hay más que inútiles guardando nuestras credenciales. Para una puñetera vez que compré online en ese sitio...

BeTiS

Y lo peor es que ahora saben la talla de mi ropa interior.

16 1 respuesta
sTaTiK

Vamos un SQLi de manual...

3 1 respuesta
DiVerTiMiX

Dentro de nada te llegarán emails tipo:

¿qué talla de pie usas?

Vaya barcas jej

3
crb2222

Espero les caiga un purazo

#3 como llegas a esta conclusión?

2 respuestas
ro_B0T_nik

#2 Todo son risas hasta que alguien hace una estafa usando tu datos personales y entonces te tienes que buscar un abogado y pagarlo de tu bolsillo, como le esta pasando a un conocido.

Si la gente no se tomara estas cosas a broma quizas podriamos hacer responsables a las empresas con unas multas lo suficientemente importantes como para que considarasen invertir mas de 4 euros en cibierseguridad, pero mucho tempo que ese barco zarpo hace tiempo.

1 respuesta
Fireternal

#5 Fácil. Expongo...

24
sTaTiK

#5 Para sacar esa info se ha tenido que comprometer una base de datos, puesto que el servicio comprometido es una aplicación web, es probable que hayan obtenido acceso a través de esto, si hubieran pillado un RCE con altos privs para acceder a la base de datos, probablemente estaríamos hablando de un destrozo mayor...

2 respuestas
crb2222

#8 suele ser mas sencillo que eso, algun acceso al backofice y a tirar peticiones a la app de consulta de clientes o a saber, dudo que sea una simple inyección. Sea como sea que les metan un purazo

TRippY

#8 El SQLi es algo más viejo que el cagar, dudo mucho que el servicio de TI no hubiese tapado ese agujero la verdad.
Esa estupidez de dejar esa puerta abierta solo le puede pasar a páginas gubernamentales (De nuestro país más concretamente)

2 respuestas
xArtiic

#6 Sin ir más lejos, llamar a gente mayor, diciendo que son del banco, ya tienen todos los datos necesarios para acceder y pueden hacerlo sólo con el código del SMS.

A mi abuela le robaron 3.000€ así, y porque tenía el limite puesto y bloquearon las demás transferencias, por suerte se lo devolvieron.

A otras personas les pidieron hasta un crédito con la misma jugada y después lo sacaron.

Pero con fecha de nacimiento, teléfono y DNI, sólo te tienen que dar 1 código y estás dentro.

sTaTiK

#10 Si te contara los SQLi que he pillado en empresas pequeñas y grandes en entornos de producción flipas.

Cruzer

Si quieren joder ya podían haber puesto un cupón descuento del 50% o algo así

odiazon

Todo esto para decirnos que haces deporte

jesusml
Soy_ZdRaVo

La pregunta es para que quería una tienda deportes nuestro DNI?

La regulación sobre protección de datos es clarísima. No hay que recoger datos innecesarios, mucho menos los que son especialmente peligrosos.

4 2 respuestas
richmonde

#10 El tema es que en muchas de estas empresas, la gente se imagina un equipo tochisimo de IT y cybersec, y la realidad es que en algunos casos, son 2-3 tipos frikis del hardware y alguno que se ha sacado un titulo de ciberseguridad.

Luego esta el otro tema... puedes tener un equipo de seguridad de la hostia, que si algun empleado se ha creído que ha ganado el sorteo del 999 iPhone 15 Pro Max 1Tb al ser el numero 1000, ya la tienes liada.

Una cadena es tan resistente como el perno más débil - Y si ese perno, es una persona de RRHH con 46 años que se saltó el curso de phishing... poco hay que hacer.

#16 Y por cosas como estas, prefiero pagar 5€ más en la compra, que dar mis datos para una "promo" de registro y obtener suculosos descuentes en la siguiente compra xD

2 respuestas
Soy_ZdRaVo

#17 Sprinter encima es una empresa que la vendieron hace "poco". No sé cómo lo llevarán los nuevos dueños pero los anteriores tenían mentalidad PYME total, pagaban fatal.

Nivel ofrecer 1.200€ a gente del departamento de logística o tirar en bucle de gente haciendo prácticas de derecho para departamentos de cosas legales xd

1 1 respuesta
richmonde

#18 Dios, menudos negreros por dios xD

Y la gente sigue comprando en estas mierdas de cadenas? Poco nos pasa...

B

La verdad que agradezco que compro de vez en cuando y me dió pereza hacerme la tarjeta/cuenta

D10X

#17 No es justo hablar solo de la gente.

He trabajo en empresas muy tochas de varios sectores, y el problema principal era que IT cuesta un dinero que no están dispuestos a pagar.

Por ejemplo, grupo IT que junta chorrocientos proveedores ... el DBA pertenece a un proveedor que no tiene un contrato 24/7. Hacer una peticion de BD implica 12/24 horas. Surge un gran acontecimiento en el sector, tu zOS permite lo q permite y el WAS hace 5 años que debiais haberlo migrado. Al final el equipo DEV hasta la polla de pringar fines de semana, oculta un formulario (simple, una caja de texto y un boton), y así ya puede cambiar la BD de producción en caliente.

Otra, migracion de sistemas en financiera tocha, que presupones morterada de pasta ... el proveedor A es colega del hijo, del nieto del subdirector, el proveedor B no sabe ni como ha ganado lo que ha ganado, el C acaba de llegar y esta enterandose de lo que habia cuando lo llevaba el proveedor A. Proveedor D pide a los equipos A/B/C q toca currar el fin de semana para la migracion de sistemas, se niegan, el cliente no esta dipuesta a pagar lo que cuestan los proveedores un fin de semana ... acceso administrador al proveedor D ("pero solo hasta el Lunes, eh!").

A todo esto le sumas, un becario hasta la polla, un junior que se pira, un senior que se jubila ... un portatil que roban, una password hardcodeada subida en el Git/bit/lo que sea .. q las prisas no son buenas.

Pues poco pasa.

3 1 respuesta
richmonde

#21 Buen punto, totalmente de acuerdo. Con esto no digo que el equipo de IT sea malo. Me refiero a que son los que son. 2-3 tipos, y sumale si quieres un becario.

Donde ademas, el equipo exec de la empresa no ve a IT como una inversion (en seguridad), sino que lo ve un gasto (en servicios) que suelen ser los primeros en sufrir recortes.

FatCat

#16 si es online algunas lo piden por defecto para hacer factura a todos los clientes y dejarse de facturar sólo a quien lo pide.

1 respuesta
Ninja-Killer

Se ofrece experto en seguridad informática. Amplia experiencia como ingeniero jefe en la cadena de ropa deportiva Sprinter. Interesados consultar

1 respuesta
TRippY

#24 Lo mejor de todo es que conozco al jefazo de IT de la sede de Alicante que creo que es la central... Voy a preguntarle qué tal le va, por el morbo, pero más adelante que igual ahora no está el horno para bollos jajaja

2
Soy_ZdRaVo

#23 vamos, que no hacen un análisis correcto de los riesgos e incumplen el RGPD

2 respuestas
D10X

#26 Ja, ayer me pidieron el DNI para q mi hija se hiciese foto con un Papa Noel en un centro comercial.

Mis datos por la sonrisa de un niño.

1
Doest

1
FatCat

#26 ni zorra de leyes al respecto pero así facturan a todo cristo y fuera.

tute07011988

Me suena que ya les hackearon hace unas semanas.

Usuarios habituales

  • FatCat
  • D10X
  • Soy_ZdRaVo
  • TRippY
  • richmonde
  • sTaTiK
  • crb2222