Datos privados de clientes que han pedido prestamos en Alkomprar disponibles en línea sin ningún tipo de seguridad
Fotografías del rostro, cédulas, datos de formularios crediticios y hasta información de acceso a plataforma que gestiona préstamos en línea a un clic de distancia.
En una sección de la url https://fabricadecreditos.colcomercio.com.co/alkomprar se encontraron sin ninguna restricción más de 50 mil documentos con datos privados de usuarios del servicio de préstamos de la empresa Alkomprar, Colombiana de Comercio SA.
Un ciudadano preocupado, con un conocimiento estándar de cómo funciona Internet, descubrió por accidente la URL de acceso público y se comunicó con MuchoHacker.lol para explicar su hallazgo y denunciar lo que sería un nuevo caso de mal manejo de datos donde información privada de colombianos pudo estar expuesta sin ninguna restricción. No se trata de ningún ataque digital. Es información privada de acceso público.
No se conoce cuánto tiempo esta información estuvo disponible en línea.
Muchohacker.lol pudo corroborar la información entregada por el ciudadano. Al conocer la situación nos comunicamos con la empresa Corbeta, dueña de Alkomprar, donde advertimos la situación y realizamos preguntas que al cierre de este post no fueron respondidas.
Tu cara en línea
Uno de los hechos más preocupantes es que dentro de los documentos expuestos se encuentran 15.231 documentos en formato PDF que tiene un registro del rostro de personas que presumiblemente fueron a sacar un préstamos con la entidad. La imagen que acompaña este post pertenece a este tipo de documento en formato PDF al que pudimos acceder tan solo visitando una url con la forma XXXXXXXX_documento_rostro.pdf.
MuchoHacker.lol le preguntó a Alkomprar a través de una oficina de prensa si los datos del rostro tienen que ver con algún tipo de identificación biométrica y no obtuvimos respuesta.
Igualmente encontramos acceso a 15,231 documentos en PDF que podrían ser datos de cédulas.
Pudimos hacer un conteo preciso para evaluar la dimensión de los datos expuestos gracias a que sin ningún control logramos copiar y pegar la información para que fuera contada en Excel.
Visitando una URL pública así se veían todos los documentos.
Igualmente, dentro de los documentos expuesto se encontraron 173 formularios elaborados en el 2022 donde se puede acceder a información como : documento de identificación, correo, fecha de nacimiento, Ciudad de residencias, teléfonos, Actividad económica, tipo de contrato, empresa donde trabaja, cargo, ingresos mensuales y egresos mensuales.
No se necesita ser hacker
Dentro de los datos publicados en línea y de la forma más ridícula e insegura posible se puede acceder a los datos privados de los analistas, probablemente de Alkomprar.
En un documento como este está: el día en el cual accedieron a una plataforma, cédula, nombre, id de Usuario, hora de entrada, hora de salida, cuántos minutos tarde, el conteo en minutos de pausas, sí almorzó o no, cuántos recesos y el número de horas laboradas.
Gracias a los datos consignados en este documento se podría acceder con facilidad a la plataforma que gestiona los créditos. Solo se necesita el id y la cédula para acceder. MuchoHacker.lol no comprobó este acceso ya que podría ser un delito, sin embargo, los datos están allí.
Gracias a la información de acceso público se puede conocer que el 23 de agosto de 2022 una analista de apellido Mejía no almorzó en el horario estipulado porque tuvo un incidente con su equipo. Ese día trabajó 8 horas y 32 minutos.
A las 12:34 informamos a Alkosto sobre la situación y advertimos que a las 3:34 publicaríamos esta nota. No llegó respuesta.
Aunque los datos accesibles públicamente pertenecerían a Alkomprar la URL desde donde están alojados pertenece a un dominio de la empresa Fabrica de Créditos. Le preguntamos a Alkomprar si tienen una relación con esta compañía pero no respondieron.
De hecho venden esa informaciona una empresa llamada diamond premium, ubicada en el cc premium plaza