Aura, una empresa estadounidense de protección de identidad, ha confirmado una brecha de datos que afecta a aproximadamente 900.000 registros, principalmente relacionados con información de contacto almacenada en un sistema de marketing.
La empresa afirmó que la mayoría de los datos expuestos se refieren a nombres y direcciones de correo electrónico recogidos a través de una plataforma de marketing de terceros vinculada a un negocio que adquirió en 2021. Según el comunicado de la empresa, la brecha no afectó a sus sistemas principales que almacenan información más sensible de los clientes.
Aura afirmó que un subconjunto menor de registros incluía información personal adicional. Este grupo incluía a menos de 20.000 clientes activos y menos de 15.000 antiguos clientes. En esos casos, los datos expuestos pueden haber incluido nombres, direcciones de correo electrónico, números de teléfono y direcciones particulares. La empresa afirmó que no se accedió a los números de la Seguridad Social, contraseñas ni datos financieros.
La brecha sigue a las afirmaciones de un actor amenazante que ofrece un conjunto de datos que contiene más de 900.000 registros relacionados con Aura. El análisis externo de los datos indicó que incluían datos de contacto y otra información como direcciones IP y notas de atención al cliente.
Los investigadores de seguridad vincularon el incidente a una campaña más amplia dirigida a sistemas conectados a entornos Salesforce. Los informes indican que los atacantes podrían haber explotado controles de acceso mal configurados en servicios expuestos públicamente para recuperar datos sin autenticación.
Aura afirmó que está notificando a las personas afectadas cuando es apropiado y guiando a los clientes. La empresa también declaró que ha tomado medidas para asegurar los sistemas afectados y prevenir incidentes similares.
La empresa ofrece servicios de monitorización de identidad y protección contra fraudes, incluyendo herramientas diseñadas para alertar a los usuarios sobre la exposición de datos. Las autoridades dijeron que la investigación del incidente continúa, con un análisis más profundo centrado en determinar el alcance total de la brecha y los sistemas implicados.