Endesa reconoce un ataque que habría expuesto datos sensibles de 20 millones de clientes

Responder
1, 2
Endesa Energía ha emitido un comunicado en el que reconoce un "incidente de seguridad" que ha permitido a un tercero "acceso no autorizado e ilegítimo a su plataforma comercial". La brecha de seguridad que hoy admite la compañía española (y que da pie a la noticia) parece que tuvo lugar hace poco más de una semana, cuando el atacante anunció haber extraído de los servidores 1 TB de datos de más de 20 millones de clientes. Desde entonces Endesa investigaba el asalto y hoy lo ha confirmado sin detallar el número de clientes afectados. Por su parte, el ciberdelincuente se muestra dispuesto a negociar un acuerdo con la compañía.

En su comunicado, Endesa explica que tras el hackeo que comprometió su seguridad ha detectado evidencias de un acceso no autorizado e ilegítimo por parte de un tercero a ciertos datos personales de sus clientes relativos a los contratos. La investigación de la compañía ha podido confirmar que el atacante "habría tenido acceso y podría haber exfiltrado de nuestros sistemas datos identificativos básicos, de contacto, DNIs y datos" pertenecientes a los contratos y, "eventualmente", a los medios de pago (IBAN). La compañía sostiene que "en ningún caso" se han visto comprometidos datos de acceso a contraseñas.

Endesa ha activado los protocolos y procedimientos de seguridad, que contemplan medidas técnicas y organizativas para mitigar sus efectos, de prevención para que no se repita y la notificación a las autoridades, incluyendo la Agencia Española de Protección de Datos. A pesar de que la compañía afirma que "no hay constancia de que se haya realizado uso fraudulento alguno de los datos afectados por el incidente", reconoce que el atacante podría usar la información sustraída para usurpar o suplantar la identidad de sus clientes. Por ese motivo, recomienda prestar especial atención a comunicaciones sospechosas.

El atacante que estaría detrás del asalto a la base de datos de Endesa dio a conocer su acción a principios de enero, cuando aseguró haber extraído 1 TB de datos de más de 20 millones de usuarios. Su objetivo es vender la información en su conjunto al mejor postor. Para demostrar que había tenido éxito en su ataque, el ciberdelincuente compartió una muestra de los datos que según él nunca antes se habían filtrado. También reconoció que se había puesto en contacto con Endesa para un rescate, pero la compañía lo ha ignorado.

Tras la publicación del comunicado, el asaltante afirma en declaraciones a Escudo Digital que Endesa aún no ha contactado con él, pero todavía se muestra "dispuesto a colaborar".
Mensajito de que han sufrido un ataque, lo estamos investigando y a otra cosa.
Precisamente hoy me ha llegado un correo de Endesa que ni he abierto, porque me ha parecido raro, ya que hace tiempo que no soy cliente.
Ahora me cuadra todo.
Me da la sensación, que esto ya da igual, han hackeado a tantos que mis datos ya corren por internet
La ciberseguridad es el talón de Aquiles del 97% de las empresas.
[decaio] [facepalm] pues veremos en que queda la cosa . Han dicho si es solo endesa o tambien alguna subsidiaria como energiaxxi?
Hace 5 años mi empresa abrió una cuenta bbva, a los 3 meses me fui y sigo recibiendo emails fake de esa mierda de entidad.

Y no pasa nada.
Una más.
Que se vayan preparando para la multa de la UE de la que los usuarios afectados no van a oler un duro, y a otra cosa mariposa. Bueno, quizá suban la factura a esos usuarios para compensar el bocado, y después de recuperado el imprevisto ya dejamos la subida si eso.

También te digo que hay que esforzarse bastante para no detectar "un acceso de un tercero" en el que se produce un tráfico de más de 1TB de tus servidores.
DNI e IBAN, y todavía tienen la cara dura de sacar pecho por preservar las contraseñas (que para qué valen si te quitan todo lo demás).
Que desproposito con Endesa, de verdad.... Caros, mal servicio, poblemas de facturacion y ahora ademas de cyberseguridad. No vuelvo con esta gente ni borracho.
Oye, ¿y no han considerado meter multazos millonarios a las empresas que son hackeadas y endurecer las penas a los hackers responsables de robos masivos de datos? Es que a las empresas no les compensa invertir en ciberseguridad si cuando les roban datos se van de rositas sin niguna clase de multa; y lo mismo los hackers, que con penas blandas es normal que se arriesguen si el beneficio es grande.
Empresa que mete socialistas, empresa que resulta "hackeada". Que curioso.
BlueTrance escribió:Que se vayan preparando para la multa de la UE de la que los usuarios afectados no van a oler un duro

Bingo. No entiendo cómo no hay una legislación que obligue a las empresas a compensar a los usuarios por el perjuicio ocasionado.

Bueno, en realidad sí que lo entiendo.
Pero viendo como funcionan los organismos reguladores poco me parece.
Chicos tranquilos que solo han robado todos los datos de las personas, los datos de acceso no, es que te tienes que reír, ya solo por decir eso la multa tendría que ser un x2
Osea, se les cuela peña que ahora tiene mi nombre y apellidos, número de cuenta, DNI (probablemente con foto), dirección..., pero ENDESA se disculpa.
Bien.
Espero que para solucionarlo me suban la tarifa para garantizar mi seguridad.
Ninguna empresa se salva…
Ayer lo leí por parte de Energía XXI...vamos "apañaos" [facepalm]
También me llegó el correo haciendo mucho que no estoy con ellos
El hackeo del mes. Ya he perdido la cuenta de cuantas compañías españolas importantes, o directamente organismos del gobierno, han sido hackeados.
De 110 contraseñas almacenadas 72 comprometidas. Gracias empresas por invertir tanto en seguridad :-| Ya ni las cambio para que..
carlosniper escribió:Mensajito de que han sufrido un ataque, lo estamos investigando y a otra cosa.

Esto es lo que más me flipa.
Qué incentivo hay en mejorar la seguridad si avisando del hackeo te vas de rositas?
Empresa random le atacan, le roban los datos y lo único que ocurre es, oye que me han robado tus datos. A otra cosa.

Luego tú tienes que ser responsable de todo, hasta de la matrícula del coche si está sucia. Pero a estas empresas, está de la noticia y la que sea, sanciones en el mejor caso irrisorias. Trabajo en IT, y a día de hoy la seguridad informática se ve más como gasto que como inversión.

Eso sí, el marronazo se lo come el usuario que sus datos ahora los tiene alguien y vete a saber que uso le va dar.
Ayer me llego un correo.... y era la factura del mes de Diciembre.
Manint escribió:DNI e IBAN, y todavía tienen la cara dura de sacar pecho por preservar las contraseñas (que para qué valen si te quitan todo lo demás).


Aja? Sabes la de empresas que mandan sus datos completos como el CIF y el IBAN en presupuestos, sin que pase nada? Y autonomos mas todavia. Tener el DNI o el IBAN de alguien, no afecta a la seguridad en ningun caso.

Jhonny escribió:
carlosniper escribió:Mensajito de que han sufrido un ataque, lo estamos investigando y a otra cosa.

Esto es lo que más me flipa.
Qué incentivo hay en mejorar la seguridad si avisando del hackeo te vas de rositas?


Porque es lo que pide la ley de proteccion de datos. Y eso tendria que hacerlo hasta una panaderia si eso sucediera. El problema es que eso ocurra ... y nadie diga nada, y termina enterandose la agencia pertinente.
Edy escribió:
Manint escribió:DNI e IBAN, y todavía tienen la cara dura de sacar pecho por preservar las contraseñas (que para qué valen si te quitan todo lo demás).


Aja? Sabes la de empresas que mandan sus datos completos como el CIF y el IBAN en presupuestos, sin que pase nada? Y autonomos mas todavia. Tener el DNI o el IBAN de alguien, no afecta a la seguridad en ningun caso.

Jhonny escribió:
carlosniper escribió:Mensajito de que han sufrido un ataque, lo estamos investigando y a otra cosa.

Esto es lo que más me flipa.
Qué incentivo hay en mejorar la seguridad si avisando del hackeo te vas de rositas?


Porque es lo que pide la ley de proteccion de datos. Y eso tendria que hacerlo hasta una panaderia si eso sucediera. El problema es que eso ocurra ... y nadie diga nada, y termina enterandose la agencia pertinente.


Estamos hablando de particulares y me tienes que estar troleando si no sabes la de putadas que te pueden hacer con esos dos datos y tu nombre.
Luego tienes una tienda online de mierda y cuidaito con no cumplir con algún requisito de la LOPD, que te sajan de arriba a abajo. Se quitan las ganas de todo ya
A mi me llegó esta mañana un correo de Energía XXI, que no sé si es lo mismo que Endesa, no estoy en Endesa ni en eso, desde hace bastantes años estoy en otra compañia. Ya veo que si son lo de lo mismo. [facepalm]
Pero, ¿No se supone que por ley de protección de datos las compañias de luz, etc. deben borrar datos de clientes antiguos que dejaron de ser clientes suyos hace muchos años?
https://www.globalsuitesolutions.com/es ... ersonales/

Pues nada, ahora de repente a recibir 20000 llamadas spam y estafas, las leyes no valen para nada.
Edy escribió:
Porque es lo que pide la ley de proteccion de datos. Y eso tendria que hacerlo hasta una panaderia si eso sucediera. El problema es que eso ocurra ... y nadie diga nada, y termina enterandose la agencia pertinente.

No digo que no se haga, faltaría más.
Lo preocupante es que no haya más consecuencias para la empresa.
A la empresa le pueden multar con lo que sea, que lo van a repercutir en sus tarifas pasra que lo paguen los clientes. Y luego a pesar de todo las consecuencias las pagamos los usuarios con spam, intentos de estafa y llamadas a todas horas...
Lo triste es que si ya no eres cliente, e intentas borrar datos como el IBAN, no puedes...

destroyerjjbg escribió:[decaio] [facepalm] pues veremos en que queda la cosa . Han dicho si es solo endesa o tambien alguna subsidiaria como energiaxxi?

Te confirmo que también van de Energia XXI.

Lloyd Irving escribió:A mi me llegó esta mañana un correo de Energía XXI, que no sé si es lo mismo que Endesa, no estoy en Endesa ni en eso, desde hace bastantes años estoy en otra compañia. Ya veo que si son lo de lo mismo. [facepalm]

Energía XXI es la comercializadora de Endesa para el mercado regulado.


Ho!
@Manint

Bueno ... un autonomo y un particular, a efectos de DNI y a efectos de una cuenta bancaria IBAN, es exactamente la misma cosa. Dime tu, porque ahora que lo estas indicando, que putadas dices que puedes tener?? Porque hasta donde yo se, solo un SEPA te permite acceder a la pasta, e incluso en esos casos, tienes un tiempo de retorno.

Y te lo pregunto, porque a menos que en los ultimos 20 años, me haya perdido algo ... creo que hasta donde se, de poco o nada sirve esa información para que alguien te saque un solo céntimo de la cuenta.

Jhonny escribió:
Edy escribió:
Porque es lo que pide la ley de proteccion de datos. Y eso tendria que hacerlo hasta una panaderia si eso sucediera. El problema es que eso ocurra ... y nadie diga nada, y termina enterandose la agencia pertinente.

No digo que no se haga, faltaría más.
Lo preocupante es que no haya más consecuencias para la empresa.


Es que vuelvo a decir, el problema es que si no se comunica, las sanciones son terribles. Y digo terribles ... porque como consecuencia de un ataque, la empresa es la AFECTADA, ya que independientemente de que medios de seguridad pongas, que accedan a tu documentación, es posible que no sea porque no pongan medios, si no porque los medios de los hackers sean superiores (y eso ... es como pretender que sancionen al que le puso la cerradura a una casa ... o al propietario de la misma y no al ladrón que la ha conseguido abrir.)
@Edy ya solo que nosesabequien tenga tus datos personales y bancarios es una putada y gorda, independientemente de la forma que los usen. Si van llamando y pegan con una persona mayor o no muy espabilada consgien que les facilite PIN, también con el DNI pueden hacer un duplicado de SIM con el peligro que eso tiene (Autenticación doble factor en bancos y tiendas)
@Edy así a bote pronto, y si no ha cambiado el tema, por ejemplo contratar una línea de teléfono a tu nombre y meter los cargos a tu número de cuenta…


Ho!
ironico como vamos hacia que lo mas practico sea tener todo en fisico en una carpeta en un cajon [rtfm]
No se les puede exigir daños y perjuicios?
chachin2007 escribió:Osea, se les cuela peña que ahora tiene mi nombre y apellidos, número de cuenta, DNI (probablemente con foto), dirección..., pero ENDESA se disculpa.
Bien.
Espero que para solucionarlo me suban la tarifa para garantizar mi seguridad.

Y no han sido los primeros, a mi el año pasado me llamaron del "sabadell" dando el nombre completo de mi padre, la dirección de su casa, y demás datos personales, sobre una "compra" que se estaba realizando.

Hasta a una persona como yo, que llevo mas de 25 años en internet y que puede oler una estafa a kilómetros dudé al tener todos esos datos, pero por suerte, donde fuera que hackearon estaba mi teléfono y no el suyo... ahora imagínate a cualquier otra persona.

Estamos completamente vendidos hoy en día por culpa de una caterva de inútiles incapaces de tomarse en serio la ciberseguridad. Ya puedes tener todo el cuidado del mundo y seguir todas las buenas practicas para no estar expuesto ante hackeos que no te vale una mierda.
jamblar escribió:@Edy ya solo que nosesabequien tenga tus datos personales y bancarios es una putada y gorda, independientemente de la forma que los usen. Si van llamando y pegan con una persona mayor o no muy espabilada consgien que les facilite PIN, también con el DNI pueden hacer un duplicado de SIM con el peligro que eso tiene (Autenticación doble factor en bancos y tiendas)


Hay una cantidad de empresas que tienen datos personales de una cantidad de peña que es cagarse, y por eso, la LOPD esta detras de eso mismo, para que el uso de DNIs y determinados perfiles, ya no almacenen ese tipo de informacion (de ahi el uso de Cl@ve y otros medios de identificacion digital).

Por cierto, para el duplicado de una SIM, actualmente se tiene que realizar en persona en la gran mayoria de ocasiones, y de no hacerlo, se requiere del uso de "PERSONA", que es el medio digital donde requiere escaneo 3D del rostro.

Sabio escribió:@Edy así a bote pronto, y si no ha cambiado el tema, por ejemplo contratar una línea de teléfono a tu nombre y meter los cargos a tu número de cuenta…


Ho!


Lo mismo que jamblar. Para hacer una contratacion actualmente requiere del uso de persona, o de firma digital, al igual que un cambio de titular o una modificacion concreta de cuenta bancaria. Todos esos cambios se tienen que hacer con la seguridad correspondiente, y no viene de ahora, esto ya hace varios años que se realiza.
Otro por aquí. Yo he recibido el mail por parte de Endesa y otro por parte de energia XXI.
En fin espero que la ineptitud de ambas empresas no me acarree consecuencias...
Lo de enviar un mail y santas pascuas es ya lo último.
1Saludo
Borsho escribió:Empresa que mete socialistas, empresa que resulta "hackeada". Que curioso.

Los socialistas italianos, no? [plas] [qmparto] [qmparto]
Y nadie dimite...
Y a ti por no poner una coletilla en el email de trabajo te pueden sancionar con no sé cuantos miles de euros...
Eso le pasa a un autónomo y va a la cárcel...
En fin.
Edy escribió:Lo mismo que jamblar. Para hacer una contratacion actualmente requiere del uso de persona, o de firma digital, al igual que un cambio de titular o una modificacion concreta de cuenta bancaria. Todos esos cambios se tienen que hacer con la seguridad correspondiente, y no viene de ahora, esto ya hace varios años que se realiza.

La última contratación online que fui a tramitar yo, hace menos de dos años, no requería firma digital más allá de un garabato. Quizás ahora haya cambiado, pero no es cosa de hace varios años. Y lo mismo para compañías eléctricas, compras de dominios, seguros... que con los datos del DNI, y el IBAN, ya puedes contratarlos sin mayor problema.

Mira, del 2022, "algunas compañías", no todas:
Algunas compañías, a pesar de permitir la tramitación del alta por teléfono, te pedirán que envíes el DNI y un documento bancario por email para finalizar la contratación.
https://www.ocu.org/tecnologia/telefono ... se-de-alta


Ho!
@Edy Que da igual que la LOPD esté encima de ellos, que en los últimos años están habiendo filtracines y robos de datos en empresas que se pueden permitir ser inexpugnables, incluso en organismos del estado (DGT), pero como se arregla con un simple "hemos detectado que nos han robado tus datos pero no te preocupes que ya lo hemos solucionado" basta, y no hay sanción de las que duelen, pues siguen igual...
Lo peor de todo es que es algo que ya les ha pasado anteriormente y que no puedes elegir. Si vives en zona donde son la distribuidora, Endesa va a tener tus datos si o si y no puedes hacer nada para evitarlo.
La seguridad en los cortijos suele ser asi. Uno que no dice nada y al que estan hackeando constantemente es Leroy Merlin. La ciberseguridad en este pais brilla por su ausencia, igual que la responsabilidad.
¿Para cuándo una enorme multa por parte del gobierno a estos HDLGP por dejarse hackear?

Oh, wait! ¡Que también hackearon a la DGT, la SS... sin consecuencias? 😒
jnderblue escribió:Lo peor de todo es que es algo que ya les ha pasado anteriormente y que no puedes elegir. Si vives en zona donde son la distribuidora, Endesa va a tener tus datos si o si y no puedes hacer nada para evitarlo.

No. Endesa y Energía XXI son comercializadoras, y son las que han recibido la filtración, pero puedes contratar con ellas o con cualquier otra compañía. Lo triste es que aunque ya no estés con ellas siguen teniendo tus datos [reojillo]
La distribuidora es e-distribucion (que vale que es del mismo grupo), pero ahí no es necesario que te des de alta, puedes darte de baja incluso, y no tienen el IBAN.


Ho!
Se me filtra a mi en mi negocio los datos de algún cliente y me machacan, pero cuando le pasa a este tipo de empresas aquí no pasa nada.
Sabio escribió:
jnderblue escribió:Lo peor de todo es que es algo que ya les ha pasado anteriormente y que no puedes elegir. Si vives en zona donde son la distribuidora, Endesa va a tener tus datos si o si y no puedes hacer nada para evitarlo.

No. Endesa y Energía XXI son comercializadoras, y son las que han recibido la filtración, pero puedes contratar con ellas o con cualquier otra compañía. Lo triste es que aunque ya no estés con ellas siguen teniendo tus datos [reojillo]
La distribuidora es e-distribucion (que vale que es del mismo grupo), pero ahí no es necesario que te des de alta, puedes darte de baja incluso, y no tienen el IBAN.


Ho!

Pero es que se supone que con la ley de protección de datos deben borrar los datos de ex-clientes pasado x tiempo. ¿Por qué no cumplen la ley?

Esta madrugada me llegó también email de Endesa, y en casa no estamos con ellos desde hace bastantes años.
68 respuestas
Responder
1, 2
Volver a Internet