La fintech Revolut, hackeada: los datos de 50.000 clientes, al descubierto

La fintech Revolut ha sufrido un ataque que ha dejado al descubierto la información personal de varias decenas de miles de clientes: 50.150, según Bleeping Computer. El hackeo ocurrió hace unos días, y al parecer se trata de un ataque con un foco y fin muy concretos. Sucedió en una noche de domingo, y a las dos de la madrugada de ese mismo lunes, el ataque ya estaba aislado y contenido.

Según un portavoz de la compañía, un tercero sin autorización tuvo acceso a los sistemas de Revolut «durante un breve periodo de tiempo«, en el que calculan que pudo acceder a los detalles de un 0,16% de sus clientes. En la compañía identificaron y aislaron el ataque «inmediatamente, para limitar con eficacia su impacto, y contactar con los clientes afectados. Los que no han recibido un email no han sufrido impacto«.

La compañía ha comunicado ya la brecha de seguridad y sus detalles al Cuerpo de inspectores de protección de datos del estado de Lituania, donde Revolut tiene licencia de banca. Según los datos facilitados por la compañía, los clientes de la zona económica europea afectados son 20.687. No se han facilitado datos sobre cómo se produjo el ataque, pero todo apunta a que se ha realizado a través de ingeniería social.

Los datos de los clientes que han quedado al descubierto, según la agencia de protección de datos deLituania, son los siguientes: dirección de correo electrónico, nombre completo, dirección postal, número de teléfono, datos limitados de la tarjeta de pagos y datos de la cuenta. No han quedado comprometidos ni los detalles de las tarjetas, ni los PINs de las mismas ni las contraseñas. El atacante tampoco ha conseguid acceso a los fondos de los clientes de la entidad.

No obstante, en un mensaje enviado a un cliente afectado, Revolut señala que el tipo de datos que han quedado al descubierto varían en función de los clientes. A la vista de lo sucedido, los clientes de la entidad deberían tener un cuidado especial con cualquier mensaje que les pida datos personales o contraseñas, porque la compañía, según recalcan, nunca les pedirá información sensible de esa manera.

De hecho, al parecer, ya hay una campaña de SMS de phishing dirigida a los clientes de Revolut para intentar que los propietarios de cuentas en la entidad faciliten datos sensibles, que les intenta engañar diciéndoles que su tarjeta ha sido congelada para evitar un posible fraude. También se les dice que para pedir una tarjeta nueva tienen que hacer click en un enlace falso y sigan unas instrucciones, que como no podía ser de otra manera, les piden que faciliten datos sensibles de pago de la tarjeta que no deben entregar. De otra manera, los atacantes podrían hacer compras online o enviar dinero a cuentas que tengan controladas.