Utilizar QR también está volviéndose bastante inseguro. En alguna ocasión ya hemos hablado del Qrishing, técnica de phising que usan los ciberdelincuentes escondiendo enlaces maliciosos en estos códigos que tan de moda se han puesto a causa de la pandemia.
A ese peligro se une ahora el de un agujero de seguridad de un conocido generador de códigos QR. Hablamos de la brecha en el servicio My QRcode, de la cual informa la web de información en ciberseguridad Hackread.
My QRcode, con sede en Bulgaria, habría tenido una fuga de más de 128 GB de datos que afectaría a unos 67.000 clientes.
Esta fue causada por una configuración incorrecta, lo que hizo que el servidor fuera accesible al público sin necesidad de ninguna autenticación de seguridad o contraseña.
Los datos filtrados incluirían nombres completos, título profesional, correos electrónicos, hashes de contraseñas, URL a códigos QR, números de teléfono, direcciones físicas, números de teléfono alternativos, enlaces a perfiles de redes sociales, estados, códigos postales y países y enlaces a sitios webs personales, comerciales o de la empresa de los usuarios.
La fuga puede tener graves consecuencias para los usuarios que han visto sus datos vulnerados. Los cibermalos pueden usarlos para robo de identidad, ataques de phishing o incluso acometer delitos físicos, ya que las direcciones forman parte de la filtración.
El agujero siguió abierto
De manera preocupante, Hackread pudo comprobar cómo los datos se actualizaban de manera activa con nuevos registros cada día, lo que indicaba que la fuga todavía seguía en curso. En las últimas jornadas se habrían incrementado 2.000 usuarios afectados.
La web conoció el problema gracias al investigador de seguridad Anurag Sen, informando de él en exclusiva. Se supone que la compañía que opera este generador fue informada de la brecha hace dos semanas, pero no hizo nada para solventarla.
Al tratarse de un servicio radicado en Bulgaria, My QRcode está sujeto al Reglamento General de Protección de Datos (RGPD) y podría enfrentarse a multas por filtraciones de datos y otras infracciones que pueden ascender a 20 millones de euros o el 4% de sus ingresos anuales globales, lo que sea mayor.