O grupo de extorsão ShinyHunters publicou dados pertencentes a quase 400.000 clientes da BCD Travel após o prazo de resgate expirar, tornando uma grande coleção de registros de clientes publicamente disponível online.
Segundo pesquisadores que analisaram os dados vazados, o conjunto de dados contém informações vinculadas a aproximadamente 396.000 indivíduos. Os registros expostos incluem nomes, endereços de e-mail, números de telefone, endereços físicos, detalhes do empregador, cargos e comunicações de suporte ao cliente.
A publicação segue alegações anteriores da ShinyHunters de que teria violado a BCD Travel e roubado informações da empresa e clientes. O grupo já havia estabelecido um prazo para a empresa responder às suas demandas e alertou que os dados seriam divulgados caso nenhum acordo fosse alcançado.
Após o término do prazo, o grupo publicou os registros dos clientes online.
Antes de liberar os dados, a ShinyHunters afirmou ter obtido mais de 700.000 registros do Salesforce, além de informações de sistemas SharePoint, documentos internos, contratos, dados operacionais e registros de clientes. Essas alegações foram feitas pelos atacantes e não foram verificadas de forma independente.
As informações vazadas dos clientes parecem representar apenas parte dos dados que o grupo afirma possuir.
A BCD Travel é uma empresa de gestão de viagens corporativas que oferece serviços de reservas e gestão de viagens para empresas, multinacionais e organizações governamentais. Como resultado, os registros expostos podem incluir informações ligadas a viajantes corporativos e clientes empresariais.
Pesquisadores que analisaram os dados publicados disseram que o vazamento contém uma ampla gama de informações pessoais e relacionadas a negócios. Os registros de suporte ao cliente incluídos no conjunto de dados podem fornecer contexto adicional sobre viajantes, reservas e interações com a empresa.
O incidente também foi catalogado por serviços de rastreamento de violações. Have I Been Pwned adicionou a violação ao seu banco de dados e relatou que cerca de 396.300 endereços de e-mail únicos foram incluídos nos registros publicados.
De acordo com o serviço de notificação de violações, as informações vazadas contêm nomes, endereços de e-mail, números de telefone, endereços físicos, informações do empregador, cargos e dados de tickets de suporte coletados de múltiplos conjuntos de dados.
Embora a publicação dos registros dos clientes tenha sido confirmada, a extensão total da intrusão permanece incerta. A ShinyHunters continua afirmando que obteve dados internos adicionais da empresa além do que foi divulgado publicamente.
No momento da reportagem, o conjunto de dados vazado contendo informações sobre quase 400.000 clientes circulava publicamente online.