AtaquesCarruselNacionales

Viva Air Leak: 26 millones de datos privados de clientes de la aerolínea de bajo costo estarían en línea desde hace nueve meses

El 14 de marzo de 2022 fue publicado en un sitio web de la web profunda varias bases de datos robadas supuestamente  a la compañía Viva Air. 

El atacante, un reconocido fabricante de ransomware, se adjudicó el robo de 18,25 GB de información de clientes de la aerolínea de bajo costo y publicó que los datos obtenidos equivaldrían a información privada de 26.5 millones de clientes. 

El atacante afirma tener en su poder nombres, dobs, número de pasaporte, teléfono, correo, entre otros datos.

MuchoHacker.LOL recibió una alerta de un analista de ciberseguridad con un link al que solo se puede acceder utilizando un navegador que soporte la red Tor y pudo verificar que en la página web están publicadas una serie de afectados por un ransomware entre los que se encuentra Viva Air. 

En la lista de afectados se puede observar la fecha de la publicación, el tamaño (18,25 gb) y que este leak ha recibido 439,464 visitas. 

Al visitar el sitio web destinado a Viva Air se puede observar que los 18,25 Gigas supuestamente robados se dividieron en 38 archivos en formato zip. Cada uno de los documentos pesa 500 MB. 

Los archivos subidos se pueden descargar pero el Zip tiene una contraseña que está en la página HTML que muestra el ataque. 

Las pruebas

Acompañado de los archivos en formato ZIP se adjuntaron imágenes que muestra ejemplos de lo que se habría robado.  Una base de datos separada por comas con información privada de personas.

En este documento se puede observar con claridad el nombre de los clientes, la cédula, fecha de nacimiento,  género, correo y número telefónico.  

Se muestran dos ejemplo de base de datos que estaría comprometidas. 

MuchoHacker.lol pudo descargar dos de los archivos ZIP, sin embargo, no pudimos verificar su interior por no contar con un entorno digital adecuado que evite una posible infección.  Solo una investigación con todas las medidas de seguridad puede verificar qué contienen esos 38 archivos ZIP.

¿Quién se adjudica el robo de la información?

La información de Viva Air que estaría comprometida habría sido robada por los creadores del Ransomexx2. 

Según publicaciones de investigadores Ransomexx2 fue creado por Hive0091 y es una variante de un ransomware conocido como Ransom x. Se tienen registros de tipos de este ataque desde el 2018 a entidades públicas de diversos países y empresas como Ferrari, Ermenegildo Zegna, entre otras. 

Este, como todos los ataques de ransomware, secuestra la información para luego pedir un rescate extorsivo para recuperarla.  Viva Air no confirmó si fue víctima de Ransomware y tampoco si las bases de datos publicadas pertenecen a clientes de su organización.

¿Doble ataque?


Pero esta información sobre posibles fugas de información no es la única. En un foro donde se comercian con datos robados MuchoHacker.lol encontró que se ofrecen 2 millones de datos que pertenecerían a clientes de Viva Air. La publicación se realizó el 7 de octubre de 2022 y fue realizada por el usuario PWN.

En este supuesto leak el vendedor ofrece más de 50 datos de lo que serían 2 millones de clientes. Entre los datos robados se encuentran: Nombre, dirección, número de vuelo, correo, número de vuelo, número de equipaje, entre otros. 

La información que se vende va acompañada de una prueba de la base datos pegada en un servicio en línea que se llama PasteHub. Solo un técnico con conocimiento podría determinar si este ataque es producto del primero realizado el 14 de marzo.

MuchoHacker.lol pudo verificar la base de datos que se encuentra en bruto disponible en línea y efectivamente se encuentran todo tipo de datos de supuestos clientes de Viva Air.  La base de datos expuesta es gigante y sin conocimiento técnico es imposible contar cuántos datos totales tiene y solo Viva Air puede determinar si estos datos pertenecen a sus clientes.

¿Quién responde?

Para saber más sobre estos dos ataques nos comunicamos vía Twitter con la cuenta de Viva Air y allí nos pidieron hablar con funcionarios de la la agencia Dattis que maneja la relación con periodistas de la aerolínea. 

“En el momento la compañía no está dando ninguna declaración a medios. Si quieres me puedes enviar un correo a XXXXXXX para agregarte a la BDD y cuando tengamos atención a medios te lo hago saber”, nos indicó una funcionaria de Dattis vía Whastapp.  Este contacto se hizo a las 11:36 de la mañana. 

Por cuenta de un trino que hice desde mi cuenta personal a las 2:55 de la tarde una funcionaria de Dattis cuestionó mi comunicación y me explicó que podrían evaluar darme una respuesta. 

La empresa Dattis también maneja la relación con medios de Sanitas. 

Como es común en estos casos le advertí que era mejor que me dijeran si responderían o no, dada la gravedad del caso ya que generalmente las empresas afectadas nunca responden a las advertencias de ciberseguridad y ahora es costumbre en Colombia no dar respuesta a periodistas.  

Posteriormente me invitó a enviar un contexto de la información y preguntas. Advertí que a las 6:00 pm publicaría. 

Se le envio a la funcionaria de Dattis las siguientes preguntas:

1. ¿Saben ustedes qué fueron atacados y fue robada información privada de clientes que usan sus servicios?

Si la respuesta es sí, qué saben. 

2. Tengo acceso a una publicación con pruebas donde según el atacante se registran 25,5 millones de datos de clientes robados y publicados.  Qué pueden decir al respecto. 

3. ¿Le informarán a las personas lo que pasó?

4. ¿La SIC o alguna autoridad colombiana  tiene alguna investigación por ciberataques a Viva Air?

Al cierre de esta publicación no se obtuvo respuesta. 

Igualmente intentamos comunicarnos con la Superintendencia de Industria y Comercio. Un colega periodista nos compartió el número telefónico de Alejandro Arteaga, quien estaría a cargo de la oficina de comunicaciones de la SIC. Le escribimos un mensaje pero no respondió. 

Igualmente, se llamó a la SIC y nos informaron, en medio de dudas, que la oficina de comunicaciones de la entidad estaría vacante por cuenta del cambio de gobierno.  Nadie sabe nada, nadie responde.

Foto de portada: William López

Un comentario en «Viva Air Leak: 26 millones de datos privados de clientes de la aerolínea de bajo costo estarían en línea desde hace nueve meses»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *