Explotación de tienda de tarjetas de regalo online revela documentos de identidad de cientos de miles de personas.

Un sitio web estadounidense dedicado a la venta de tarjetas de regalo en línea ha logrado asegurar un servidor de almacenamiento que exponía públicamente cientos de miles de documentos de identidad emitidos por el gobierno. Un investigador de seguridad, conocido en línea como JayeLTee, detectó el servidor expuesto a finales del año pasado. Este contenía licencias de conducir, pasaportes y otros documentos de identidad pertenecientes a MyGiftCardSupply, una empresa que se especializa en la venta de tarjetas digitales para canjear en marcas y servicios en línea destacados.

MyGiftCardSupply menciona en su página web que requiere a sus clientes subir copias de sus documentos de identidad como parte de sus esfuerzos por cumplir con las regulaciones estadounidenses contra el lavado de dinero, comúnmente conocidas como chequeos de "conoce a tu cliente" o KYC. Sin embargo, el servidor donde se almacenaban los archivos no contaba con una contraseña, lo que permitía el acceso a cualquier persona en internet. JayeLTee alertó sobre la exposición a un medio conocido la semana pasada, después de que MyGiftCardSupply no respondió a su correo electrónico sobre la información expuesta.

Sam Gastro, fundador de MyGiftCardSupply, confirmó la falta de seguridad. Indicó que "los archivos ahora están seguros y estamos realizando una auditoría completa del procedimiento de verificación KYC". Además, afirmó que en el futuro se eliminarán los archivos de manera inmediata después de realizar la verificación de identidad. Sin embargo, no especificó cuánto tiempo estuvo expuesta la información y tampoco se comprometió a notificar a las personas afectadas por la publicación de sus datos. También quedó sin respuesta el porqué MyGiftCardSupply no atendió el correo del investigador ni tomó medidas para solucionar la vulnerabilidad en ese momento.

Según JayeLTee, los datos expuestos, alojados en la nube de Microsoft Azure, incluían más de 600,000 imágenes de documentos de identidad y selfies de aproximadamente 200,000 clientes. Es común que las empresas sometidas a chequeos KYC pidan a los clientes tomar una selfie sosteniendo su documento de identidad para verificar su autenticidad y evitar fraudes. El documento más reciente cargado en el servidor estaba fechado el 31 de diciembre de 2024, un día antes de que MyGiftCardSupply asegurara el servidor expuesto, lo que sugiere que el uso del almacenamiento era activo.

Este incidente se suma a una larga lista de brechas de seguridad que han ocurrido en años recientes relacionadas con documentos de identidad en los chequeos KYC, que son una técnica ampliamente utilizada para verificar la identidad de los clientes. En abril pasado, un hacker afirmó haber robado una base de datos masiva llamada World-Check, la cual es utilizada por empresas para identificar a clientes de alto riesgo o involucrados en potencial actividad criminal. Una copia de los datos filtrados mostró que la base de datos contenía nombres, fechas de nacimiento, números de pasaporte y de Seguro Social, así como números de cuentas bancarias.

JayeLTee también reportó la aparición de otro conjunto de documentos KYC expuestos, incluyendo alrededor de 320,000 pasaportes y licencias de conducir de un sitio de búsqueda de compañeros de cuarto llamado Roomster. En un post en su blog, mencionó que no estaba claro cuántas personas fueron afectadas por esta falla de seguridad en Roomster. El CEO de la empresa, John Shriber, no respondió a las solicitudes de comentario. En una declaración proporcionada por el abogado general de Roomster, Charles Brofman, la compañía indicó que "no tiene razones para creer que alguien haya hackeado la carpeta o que alguien haya accedido a los datos y los haya utilizado de manera inapropiada". Roomster fue ordenado en 2023 a pagar $1.6 millones tras una queja de la Comisión Federal de Comercio por supuestamente defraudar a millones de sus usuarios mediante la publicación de anuncios no verificados y reseñas falsas.