Un negocio de seguridad para el hogar que sufre un robo digital no tiene buena pinta, pero ahí es exactamente donde se encuentra ADT. La compañía ha confirmado una intrusión cibernética tras un intento de extorsión por parte del equipo ShinyHunters, que afirma haberse llevado más de 10 millones de registros.
ADT, con sede en EE. UU., es uno de los proveedores más grandes del mundo de sistemas de alarma para el hogar monitoreados y vende de todo, desde alarmas antirrobo y cámaras hasta kits para el hogar inteligentes, todo con el objetivo de mantener alejados a los visitantes no deseados.
El viernes, la compañía dijo que detectó «acceso no autorizado» el 20 de abril, la cerró y contrató a personal externo para responder a incidentes, con la intervención de las autoridades.
Según ADT, el intruso se llevó un «conjunto limitado» de datos que cubrían nombres, números de teléfono y direcciones, con una porción más pequeña que incluía fechas de nacimiento y los últimos cuatro dígitos de los números de Seguro Social o de identificación fiscal. No se accedió a datos de pago, dijo, y la empresa quiso enfatizar que los sistemas de seguridad de los clientes no fueron tocados.
Esa es la versión oficial.
Mientras tanto, ShinyHunters cuenta una historia bastante diferente. En una publicación en su sitio de filtración en la web oscura, vista por El Registroel equipo afirma que levantó «más de 10 millones de registros de Salesforce que contienen PII y otros datos corporativos internos» y ahora está transmitiendo todo después de que las conversaciones con ADT no llegaron a ninguna parte.
«La empresa no logró llegar a un acuerdo con nosotros a pesar de nuestra increíble paciencia y de todas las oportunidades y ofertas que le hicimos», afirmó el grupo. «No les importa».
La mención de Salesforce insinúa un posible punto de apoyo de SaaS en lugar de que alguien juegue con paneles de alarma. Si bien ADT aún tiene que confirmar cómo obtuvieron acceso los intrusos, dijo en un documento separado 8-K. [PDF] que los atacantes accedieron a «ciertos entornos basados en la nube».
Existe, por decirlo suavemente, una brecha entre «conjunto limitado» y «10 millones de registros». Las empresas tienden a definir los incidentes de la manera más estricta posible, mientras que los delincuentes tienden a hacer lo contrario. La verdad suele quedar incómodamente en el medio. Have I Been Pwned ahora le ha puesto un número, enumerando 5,5 millones de direcciones de correo electrónico únicas, un número que se acerca mucho más a los «millones» que la versión de los eventos de ADT.
ShinyHunters recientemente hizo afirmaciones similares sobre la compañía de cruceros Carnival Corporation, con conversaciones sobre negociaciones fallidas y un inminente volcado de datos.
ADT aún no ha respondido a las preguntas de El Registro sobre cómo se vio comprometido, cuántas personas se vieron afectadas, si hay clientes involucrados fuera de los EE. UU. o si ha presentado notificaciones de incumplimiento ante los fiscales generales estatales.
Para una empresa creada para mantener alejados a los intrusos, éste ya ha entrado por la puerta principal. Aún se discute si se limpiaron también los archivadores. ®
