EscapadaRural, una página web que opera en la Península Ibérica y ofrece cerca de 19.000 alojamientos rurales para alquileres de corta estancia, ha sufrido una importante brecha de datos.
Esta suerte de Airbnb campestre habría dejado grandes cantidades de información personal de clientes accesibles de forma pública. La brecha de seguridad ha sido descubierta y revelada por el equipo de Cybernews.
El pasado 8 de enero encontraron un repositorio que contenía una base de datos con detalles de 2,9 millones de cientes, incluyendo nombres, direcciones de email, género, fechas de nacimiento y números de teléfono.
Toda esta información personal podía encontrarse en un archivo CSV de acceso público y cuyas últimas entradas constan del 7 de noviembre de 2022.
Lamentablemente, Cybernews no han sido los primeros en encontrar el 'agujero' de seguridad. Los cibermalos han llegado antes.
Un actor malicioso conocido con el alias de 'louhunter' ya publicó el conjunto de datos en el foro de hackers BreachForums.
De hecho, esta publicación se remonta a julio del año pasado. "Esto indica que Escapada Rural no logró identificar ni asegurar la fuga durante más de seis meses. Existe una mayor probabilidad de que actores maliciosos hayan abusado, estén siendo actualmente y sigan siendo objeto de abuso de la información filtrada”, advierte el equipo de investigación de Cybernews.
Asimismo, hay otros archivos de backup que han quedado expuestos. Estos contienen información menos confidencial, como listados de propiedades de booking.com y otros sitios.
Desde Cybernews alertan de que “esta filtración podría resultar muy tentadora para los estafadores de alquileres que se dirigen a sus víctimas haciéndose pasar por administradores o agentes de propiedades, ofreciendo alquileres fantasmas o estafas similares. Pueden implementar grandes bases de datos para cometer fraudes de pagos iniciales, a gran escala”.
Sin declaraciones
EscapadaRural se fundó en 2007 y asegura contar con "el mayor buscador de alojamientos rurales de España y Portugal". La llegada al país vecino se produjo en el año 2018. La empresa cuenta con una plantilla de 40 personas, con una media de edad de 27 años, según recogen en su página.
La plataforma es propiedad de HomeToGo, compañía que cotiza en la Bolsa de Frankfurt y que opera múltiples páginas de reserva y de alquileres vacacionales, como Wimdu o Casamundo.
En el momento de escribir este artículo ni la compañía ni su matriz habían hecho ninguna declaración pública sobre este incidente de seguridad. No obstante, desde Cybernews trataron de contactar a la firma y esta selló la fuga.