Roban 110.000 números de tarjetas de una empresa turística de Nueva York
La web de CitySights NY sufrió un ataque de inyección SQL y los hackers se hicieron con 110.000 números de tarjetas bancarias de clientes.
La empresa CitySights, conocida en Nueva York por operar los autobuses azules de doble piso que llevan a los turistas a Manhattan, informó de un ataque SQL injection sufrido en su servidor web el pasado 9 de diciembre, si bien ha reconocido ser consciente del problema desde finales de octubre “cuando un programador web descubrió un script no autorizado que parece haber sido cargado en el servidor web de la compañía, y se cree ha comprometido la seguridad de la base de datos alojada en el servidor”, explica la carta de notificación enviada al Fiscal General de New Hampshire.
CitySights NY cree que el ataque ocurrió un mes antes, el 26 de septiembre. En este ataque, los ciberdelincuentes se hicieron con nombres, direcciones, correos electrónicos, números de tarjetas de crédito, fechas de expiración, y códigos CVV2, utilizados para validar compras online con tarjetas de crédito.
El operador turístico empezó a notificar a sus clientes la brecha de datos hace dos semanas y ofrece a las víctimas un año gratuito de supervisión del crédito y un cupón de descuento del 50% para otro tour con CitySights NY.
La empresa matriz, Twin America, afirma que ha tomado serias medidas para mejorar la seguridad de sus servicios y filiales. No obstante, aún queda mucho por hacer. En la carta de notificación de la brecha de seguridad enviada al Fiscal General de New Hampsire se publica el código del cupón de descuento para un próximo servicio con CitySights NY; el número es 012345.
