La compañía de telecomunicaciones y proveedor de televisión por cable británica, Virgin Media, sufrió un incidente de seguridad en el que un acceso no autorizado ingresó a una base de datos mal configurada.

Según explicó la propia compañía, la base de datos contenía información de contacto de los clientes (nombre, domicilio, dirección de correo y números de teléfono) así como información técnica y relacionada a los productos de los clientes, como solicitudes realizadas mediante formularios en el sitio web; pero no incluía ni contraseñas ni datos financieros, como pueden ser números de cuenta o datos de tarjetas de crédito.

Sin embargo, según publicó Financial Times, quien asegura haber tenido acceso a los registros expuestos, la base de datos incluía cerca de 1100 registros de clientes que solicitaban bloquear o acceder a ciertos sitios web a través de un formulario, donde varias de esas solicitudes están relacionadas a pornografía, videos de violencia extrema y sitios de apuestas, entre otros sitios más cuyo acceso es restringido para menores.  Asimismo, en estos registros se detallan los sitios que fueron bloqueados o habilitados junto con los nombres y otros detalles de los respectivos clientes, lo cual podría exponerlos a un potencial intento de extorsión durante los diez meses en los que la base de datos ha estado pública, explicó al medio un investigador de TurgenSec, compañía de seguridad que descubrió la base de datos.

“La información estaba en texto plano y sin cifrar, por lo que cualquiera podría haber accedido y descargado la base de datos sin necesidad de técnicas o herramientas especiales”, explicó a BBC de una representante de la empresa de seguridad. Por otra parte, The Register publicó una de las comunicaciones enviada por Virgin Media a los clientes afectados para informarle acerca de lo sucedido en el que especifica que la base de datos ha estado configurada de manera insegura por lo menos desde el 19 de abril de 2019, aunque fue recientemente que detectaron el acceso a la misma por parte de una tercera parte no autorizada.

Si bien el error en la configuración ya fue reparado, Virgin Media anunció que lanzará en los próximos días un servicio para que los clientes puedan verificar si fueron o no afectados por la brecha. Mientras tanto, los usuarios pueden acceder al siguiente sitio que publicó la compañía con información y recomendaciones vinculadas al incidente.

Como vemos, las bases de datos mal configuradas siguen dando que hablar. Este es un problema que no solo afecta a pequeñas y medianas empresas, como fue el caso de Ecuador en 2019 donde datos personales de más de 20 millones de ciudadanos del país quedaron expuestos por una razón similar, sino que es una problemática que también afecta a las grandes compañías, tal como se pudo apreciar con los recientes casos que afectaron a Microsoft y Adobe.

Noticias como esta siempre sirven como llamado de atención para que las empresas puedan verificar el estado de la configuración de sus servidores para así evitar un dolor de cabeza a futuro.