Empleado de Yandex atrapado vendiendo acceso a las bandejas de entrada de correo electrónico de los usuarios

Yandex, proveedor de servicios de correo electrónico, servicio de transporte y motor de búsqueda domiciliado en los Países Bajos, reveló el viernes una violación de datos que comprometió 4.887 cuentas de correo electrónico de sus usuarios.

La empresa culpó del incidente a un empleado anónimo que había estado brindando acceso no autorizado a los buzones de correo de los usuarios para beneficio personal.

«El empleado era uno de los tres administradores del sistema con los derechos de acceso necesarios para brindar soporte técnico para el servicio», dijo Yandex en un comunicado.

La compañía dijo que la brecha de seguridad fue identificada durante una auditoría de rutina de sus sistemas por parte de su equipo de seguridad. También dijo que no había evidencia de que los detalles de pago de los usuarios se vieran comprometidos durante el incidente y que había notificado a los propietarios de los buzones afectados que cambiaran sus contraseñas.

No está claro de inmediato cuándo ocurrió la infracción o cuándo el empleado comenzó a ofrecer acceso no autorizado a terceros.

«Se está llevando a cabo una investigación interna exhaustiva del incidente, y Yandex realizará cambios en los procedimientos de acceso administrativo», dijo la compañía. «Esto ayudará a minimizar la posibilidad de que las personas comprometan la seguridad de los datos de los usuarios en el futuro. La empresa también se ha puesto en contacto con las autoridades».

Las amenazas internas continúan afectando a las empresas

Esta no es la primera vez que las amenazas internas afectan a las empresas tecnológicas y provocan daños financieros o de reputación.

El mes pasado, Telesforo Avilés, un extécnico de ADT de 35 años con sede en Dallas, se declaró culpable de fraude informático y grabación visual invasiva por irrumpir repetidamente en las cámaras que instaló y ver a los clientes teniendo sexo y otros actos íntimos. Fue despedido de la firma en abril de 2020.

En diciembre, el exingeniero de Cisco Sudhish Kasaba Ramesh, de 31 años, fue sentenciado a 24 meses de prisión por eliminar 16 000 cuentas de Webex sin autorización, lo que le costó a la compañía más de $2.4 millones, con $1 400 000 en tiempo de empleados y $1 000 000 en reembolsos a clientes.

En octubre del año pasado, Amazon despidió a un empleado por compartir los nombres y direcciones de correo electrónico de los clientes con un tercero.

Y en noviembre de 2019, la empresa de seguridad cibernética Trend Micro reveló que un empleado deshonesto vendió los datos de 68 000 clientes a ciberdelincuentes maliciosos, quienes luego usaron esos datos para dirigirse a los clientes con llamadas fraudulentas haciéndose pasar por personal de soporte de Trend Micro.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática