PandaBuy paga un rescate a un hacker y lo vuelven a extorsionar
La plataforma de compras china Pandabuy le dijo a BleepingComputer que anteriormente pagó una demanda de rescate para evitar que se filtraran datos robados, solo para que el mismo actor de amenazas extorsionara a la compañía nuevamente esta semana.
PandaBuy es una plataforma en línea que actúa como intermediario entre los clientes y varios sitios web de comercio electrónico chinos, incluidos Tmall, Taobao y JD.com, que no realizan envíos internacionales.
El servicio permite a los usuarios comprar productos de estos sitios web, que a menudo son más baratos o tienen artículos únicos que no están disponibles en otros lugares, y enviarlos a su ubicación.
El 31 de marzo de 2024, un actor de amenazas que utilizaba el alias ‘Sanggiero’ publicó 3 millones de filas de datos robados de PandaBuy en BreachForums, exponiendo nombres de clientes, números de teléfono, direcciones de correo electrónico, direcciones IP de inicio de sesión, direcciones particulares y detalles de pedidos.
El actor de amenazas afirmó que lograron robar esos datos explotando varias vulnerabilidades críticas en la API de PandaBuy.
Estos datos se compartieron con el servicio de notificación de violaciones de datos Have I Been Pwned (HIBP), que agregó 1,35 millones de direcciones de correo electrónico de este incidente a su sistema.
En ese momento, Pandabuy optó por no hacer ninguna declaración pública, e incluso hubo informes de que la empresa intentaba censurar los informes de los clientes en Discord y Reddit.
Nuevas reclamaciones y denegación
El 3 de junio de 2024, el mismo actor de amenazas se ofreció a vender lo que, según él, era toda la base de datos que había robado anteriormente de Pandabuy por 40.000 dólares.
Esta base de datos supuestamente contiene 17 millones de filas, lo que indica un conjunto de datos mucho mayor.
Sanggiero no proporcionó evidencia de datos adicionales de los clientes en forma de muestras, pero subió capturas de pantalla que muestran información confidencial de los empleados, como correos electrónicos y contraseñas.
Un portavoz de Pandabuy admitió a BleepingComputer que le habían pagado al hacker una cantidad no revelada para detener la filtración de datos, y agregó que el actor de amenazas pudo haber compartido los datos con otros, por lo que ya no cooperarían con él.
«En la actualidad, no podemos seguir pagando las tarifas de los piratas informáticos debido a los fondos congelados y los datos que filtró son los mismos que los anteriores. Hemos confirmado con el departamento técnico que todas las lagunas se han solucionado en el momento del primer incidente de fuga. Y por lo que sabemos, vendió en secreto nuestros datos a otros agentes después de cerrar el trato con nosotros. No podemos cooperar con él en el futuro.«
❖ Pandacompra
BleepingComputer se comunicó con Sanggiero sobre la declaración de la compañía, pero no ha recibido respuesta en este momento.
Por ahora, es mejor tener mucha precaución y estar atento a mensajes no solicitados de personas que dicen ser Pandabuy, lo que puede ser un intento de phishing para recopilar información personal adicional.
Si no ha restablecido previamente su contraseña en Pandabuy, le recomendamos encarecidamente que lo haga ahora, en caso de que le roben datos adicionales, como afirma el actor de amenazas.