Un 'hackeo' a Endesa Energia compromet dades sensibles dels clients, inclosos DNI i mitjans de pagament

   MADRID, 12 Ene. (EUROPA PRESS TELEVISIÓ) -

   Endesa Energia ha reconegut un accés no autoritzat a la seua plataforma comercial que ha resultat en l'extracció de dades dels clients relacionats amb els seus contractes, inclosos el document d'identitat i els mitjans de pagament.

   Un actor maliciós ha sobrepassat les mesures de seguretat implementades per l'empresa en la seua plataforma comercial en un incident de seguretat recent, del que ja ha començat a notificar als usuaris afectats a través d'un correu electrònic.

   Este incident, un "accés no autoritzat i il·legítim", com ho exposa la companyia, ha resultat en l'extracció de dades personals sensibles dels clients relacionats amb els contractes de llum i gas.

    Segons la investigació que ha iniciat la companyia, l'actor maliciós "hauria tingut accés i podria haver-hi exfiltrat" dades de contacte, documents d'identitat i l'IBAN del compte bancari. Endesa Energia matisa que no s'han vist afectades les contrasenyes d'accés.

    Encara que de moment no ha detectat un ús indegut de les dades robades, advertix que l'actor maliciós podria intentar usurpar o suplantar la identitat dels clients, publicar estes dades en fòrums digitals o utilitzar-los per a enviar correus o missatges fraudulents dins de campanyes de 'phishing' i de 'spam'.

    La companyia considera "improbable" que este robatori "es materialitze en una afectació d'alt risc per als seus drets i llibertats", encara que recomana als clients que estiguen atents a "possibles comunicacions sospitoses que poguera rebre en els pròxims dies" i els insta a comunicar qualsevol acció sospitosa en el número de telèfon: 800 760 366.

   Res més conèixer l'incident, Endesa Energia també ha activat els protocols i procediments de seguretat establits per a estos casos, així com "totes les mesures tècniques i organitzatives necessàries per a contenir-ho, mitigar els seus efectes i prevenir que es repetisca en el futur".

   El portal 'Escut Digital', que va informar del 'hackeo' a Endesa el passat 6 de gener, va indicar que el pirata informàtic que ha dut a terme el presumpte ciberatac va publicar detalls sobre el mateix en un fòrum de la 'dark web' el diumenge 4 de gener, on revelava que s'havia fet amb més d'1 TB d'informació de la companyia referent a més de 20 milions de persones.

   "Pels noms de taules i fitxers, el nivell de sensibilitat de les dades és extrem. Hi ha dades personals, com a noms i cognoms, dades de contacte, direcció postal, i relació compte-persona; dades financeres, com IBAN, dades de facturació i historial de comptes i canvis; dades energètiques, com CUPS (identificador únic de punt de subministrament), contractes actius de llum i gas, dades del punt de subministrament i dades regulatòries, com a Llistes Robinson, comptes exempts i historial d'incidències", indicava 'Escut Digital'.