Los contratistas de TI se están encargando de investigar si sus datos personales se han visto comprometidos en la violación de datos de la empresa paraguas de Parasol, después de sentirse frustrados por el tiempo que tarda la empresa de procesamiento de nómina en proporcionar actualizaciones sobre la situación.
Computer Weekly ha hablado con un puñado de administradores de sistemas y contratistas de seguridad de TI, empleados a través de Parasol, que han pasado los últimos días descargando cientos de gigabytes de datos y miles de archivos de la web oscura que se sabe que pertenecen a la empresa y sus subsidiarias.
Al mismo tiempo, el bufete de abogados Keller Lenkner, con sede en Londres, está preparando una acción grupal para buscar una compensación para los contratistas atrapados en la infracción, con sus propios datos que sugieren que algunos de los datos filtrados podrían datar de más de 10 años.
“Según lo que hemos visto, hay datos que se remontan a 2011 y 2009, por lo que cualquiera que haya usado Parasol en los últimos 10 años, al menos, podría tener algunos datos al respecto. [leaked] base de datos”, dijo Kingsley Hayes, jefe de violación de datos de Keller Lenkner, a Computer Weekly.
Los archivos filtrados están alojados en una página web oscura administrada por la conocida banda de ransomware Vice Society, y figuran como pertenecientes a la empresa matriz de Parasol, Optionis Group, cuyas operaciones también incluyen varias firmas de contabilidad que se especializan en brindar servicios a contratistas de compañías limitadas.
Estas firmas de contabilidad incluyen Clearsky Business, Clearsky Contractor Accounting, SJD Accountancy, Nixon Williams, First Freelance y Optionis Accountancy.
The Optionis Group sufrió un presunto ataque de ransomware en la segunda semana de enero de 2022 que lo llevó a deshabilitar y eliminar de forma proactiva sus sistemas orientados al cliente de la web en los días siguientes, y provocó una interrupción generalizada de los ciclos de pago de miles de contratistas en todo el mundo. el Reino Unido.
Habiendo asegurado previamente a los contratistas por correo electrónico, el viernes 14 de enero, que sus “investigaciones actualmente indican” que no se extrajeron datos personales durante el ataque, la empresa envió un correo electrónico de seguimiento el 7 de febrero que confirmó que se habían filtrado “algunos datos”. en línea.
Se entiende que colectivamente, en todas sus marcas, Optionis Group brinda servicios a alrededor de 28,000 contratistas en todo el Reino Unido, pero no está claro cuántos de ellos se han visto atrapados en la violación de datos.
En un comunicado a Computer Weekly después de que se confirmara la violación, un portavoz de Optionis dijo que la empresa no podía proporcionar más información en ese momento, pero quería reiterar a los contratistas que su equipo de expertos en seguridad cibernética estaba trabajando “lo más rápido posible en la investigación”.
Se entiende que el ritmo de la investigación ha frustrado a varios de los contratistas de la empresa, quienes le dijeron a Computer Weekly su consternación porque la empresa tardó cinco semanas en descubrir y anunciar la noticia de la violación de datos.
En una declaración de seguimiento a Computer Weekly, un portavoz de Optionis dijo: “Nuestra investigación aún está en curso, por lo que no hay nada más que podamos agregar en esta etapa, pero continuaremos trabajando con nuestros socios para completar esto lo antes posible. como sea posible.”
Volcado de datos de la web oscura
Keller Lenkner confirmó a Computer Weekly que sus expertos en seguridad cibernética han identificado al menos 350.000 registros vinculados a la brecha en la dark web.
Estos incluyen los nombres y direcciones de los contratistas, documentos de identidad, números de seguro nacional, nóminas, información sobre salarios, contratos de trabajo y cuentas de la empresa. Los datos que documentan los registros de enfermedad y capacitación del personal también se han encontrado en el volcado de datos.
El bufete de abogados lanzó su acción colectiva la semana pasada y se está preparando, dentro de los próximos “14 a 21 días”, para presentar una carta de reclamación contra la empresa en nombre de los afectados por la infracción, dijo Hayes.
“Una acción como esta básicamente consiste en reunir a las partes interesadas y juntar a la mayor cantidad posible de ellos para lanzar un reclamo… y buscar una compensación por los problemas que han sufrido los afectados”, dijo Hayes.
Por el momento, eso es difícil de cuantificar porque es probable que cada individuo atrapado en la violación se haya visto afectado de diferentes maneras, según la cantidad y el tipo de datos que se han filtrado sobre ellos. Al momento de escribir, eso aún se desconoce.
“Existe una gran preocupación en este momento, ciertamente de parte de nuestros clientes, de que hay una falta de información proveniente de Parasol y el [Optionis] Grupo en general sobre lo que proponen hacer al respecto y cómo proponen proteger la posición de las personas o empresas afectadas”, dijo Hayes.
“Si la empresa está haciendo la gestión de incidentes correctamente, debería tener un libro de jugadas para esto. La mayoría de las empresas de su tamaño parecen tener, y no parece haber un depósito de información. [from Optionis] para que las personas los ayuden a comprender lo que deben hacer para protegerse”.
Mientras tanto, no hay forma de saber quién está viendo los datos filtrados en la web oscura o qué planean hacer con ellos, agregó.
“La realidad de cómo se han publicado estos datos hasta ahora es que están disponibles para copiar, y el problema que tiene Parasol, y las personas afectadas por esto, es que nadie sabe quién puede o no estar copiando los datos. , y si los que tienen tratarán de venderlo”, dijo Hayes.
Cualquier persona que haya proporcionado al Grupo Optionis, y cualquiera de sus subsidiarias, los datos obligatorios de “conozca a su cliente” (KYC) para fines de verificación de identidad en los últimos años debería estar preocupado, agregó.
“Si ha sido parte del proceso con la organización donde entregó sus documentos KYC y su nómina se ha administrado durante un tiempo considerable [by Parasol]cualquier cosa, desde sus declaraciones de impuestos hasta sus pasaportes, licencias de conducir y todo ese tipo de información, es probable que se vea comprometida”.
Parasol y su empresa matriz deberían “saber exactamente” qué datos están contenidos en sus propios sistemas y deberían comunicarse con sus contratistas sobre lo que deberían hacer para protegerse, al mismo tiempo que hacen todo lo posible para eliminar estos datos de la dark web. dijo Hayes.
Al momento de escribir este artículo, Parasol u Optionis no habían publicado más actualizaciones sobre el tamaño, la naturaleza o la antigüedad de los datos contenidos en la fuga, aunque la compañía proporcionó a Computer Weekly una declaración que decía que estaba en proceso de “revisar todos los datos que ha filtrado la banda ciberdelincuente”, para que pueda avisar a los afectados por la brecha.
“Esta revisión es un proceso complejo que inevitablemente llevará tiempo, pero estamos poniendo importantes recursos y trabajando con expertos especializados en TI para garantizar que se realice de la manera más rápida y eficiente posible”, dijo la compañía. “Nos gustaría agradecer a nuestros empleados, clientes y socios por su apoyo y paciencia mientras continuamos respondiendo a este incidente”.
Aun así, es probable que el tiempo que le toma a Optionis evaluar los datos filtrados aumente el estrés que los contratistas sentirán desde que se conoció la noticia del ataque cibernético.
“La forma en que Parasol está lidiando con toda esta situación básicamente aumenta el estrés y las preocupaciones que tienen estas personas”, dijo Hayes.
En lugar de sentarse y esperar a que la empresa publique actualizaciones, Computer Weekly ha hablado con varios contratistas que han decidido tomar el asunto en sus propias manos y rastrear sus datos en la dark web.
Un análisis inicial del volcado de datos, realizado por un administrador de sistemas y compartido con Computer Weekly, corrobora los hallazgos de Keller Lenkner de que al menos 350 000 de los archivos de la empresa, que suman alrededor de 167 GB de datos, se han filtrado en línea.
“Eso está todo en un directorio, con nombres de archivo a veces ambiguos”, dijo el contratista, quien habló con Computer Weekly bajo condición de anonimato.
Este individuo ha pasado los últimos días descargando el volcado de datos para ver si alguna parte de su información personal se ha visto comprometida, luego de sentirse frustrado al esperar que Optionis confirmara o negara si sus nóminas, datos de pasaporte y detalles de cuentas bancarias se habían filtrado en línea.
Debido al tamaño del volcado de datos y las limitaciones de tratar de descargar la información a través de Tor, el individuo dijo que le tomaría varios días obtenerlo todo antes de revisarlo para ver si su información se ha filtrado.
“Tengo aproximadamente un 25% [of the data dump] y debería tener el lote para el viernes [18 February], pero aún tomará un poco de tiempo y esfuerzo decidirme a mí mismo, o a cualquier otra persona, dentro o fuera”, dijo. “Gran parte de los datos están en formato PDF y JPEG, que no es fácil de greppear”.
Otro contratista le dijo a Computer Weekly que había descargado alrededor del 5% del total de datos contenidos en el basurero, que contenía las direcciones de las casas y los detalles de contacto de al menos 7,000 empleados de la empresa, así como 2,000 escaneos de pasaportes y alrededor de 700 licencias de conducir pertenecientes a personas que hacen uso de los servicios de Optionis de alguna forma.
“Esa fue una muestra del 5% de los archivos, por lo que el alcance de esta violación es enorme”, dijo el contratista.
El tipo y la cantidad de datos que se sabe que existen podrían, como en el caso de infracciones pasadas, poner a los afectados en un mayor riesgo de robo de identidad y fraude, así como ataques de phishing.
Mientras tanto, los contratistas de TI que están descargando los datos también son muy conscientes de los riesgos que corren al buscar en la dark web para recuperarlos, pero sienten que la falta de actualizaciones de Optionis no les ha dejado otra opción.
Aun así, las personas dijeron que advertirían a otros contratistas que no hagan lo mismo a menos que tengan experiencia previa en el acceso a recursos en la web oscura y tengan una configuración de hardware que les permita hacerlo de manera segura.
“Ciertamente, nunca usaría una computadora portátil de trabajo para conectarme a la red corporativa de mi cliente [to do this] porque eso los dejaría innecesariamente expuestos a estos riesgos”, dijo el contratista, quien compartió su análisis inicial del volcado de datos con Computer Weekly.
“Los riesgos son los mismos riesgos que visitar cualquier sitio web en general, pero estadísticamente es más probable que sufra daños en la web oscura debido a la naturaleza de los sitios, sus operadores y la naturaleza de los visitantes.
“El principal riesgo es que el código en los sitios explote una vulnerabilidad en el software de su navegador web, como una vulnerabilidad de Javascript, y si el navegador se explota con éxito, puede haber riesgos posteriores para otros dispositivos y datos en la red local y más allá de.”
Para cualquier contratista que espera la confirmación de que sus datos han sido comprometidos, Hayes de Keller Lenkner dijo que su prioridad debe ser suscribirse a un servicio de monitoreo de fraude, como Experian o CIFAS, que los alertará si se intenta utilizar sus datos por suplantación de identidad.
“Si las personas están en una posición en la que saben que han proporcionado documentos de identidad que pueden volver a solicitar, como una licencia de conducir o un pasaporte, entonces deberían hacerlo para protegerse”, dijo.
“Cuanto más pueda hacer para quitarle a un estafador la capacidad de usar la información contenida en un documento de identidad, más podrá protegerse. Pero es extremadamente difícil volver a meter al genio en la botella cuando está ahí afuera”.
Hayes agregó: “Una vez que alguien ha tomado incluso capturas de pantalla de estos documentos, esa información puede vincularse con cualquier información que esté disponible públicamente sobre usted en las redes sociales, por ejemplo, y usarse en su contra. Así que también recomendaría que las personas en casos como este también refuercen sus perfiles en las redes sociales”.