La firma de ciberseguridad Trend Micro ha revelado un incidente de seguridad esta semana llevado a cabo por un empleado que accedió de manera inadecuada a los datos personales de miles de sus clientes con una "intención criminal clara" y luego los vendió a un estafador malicioso de soporte técnico a principios de este año. .
Según la compañía de seguridad, un número estimado de clientes afectados por la violación es de 68,000, que es menos del uno por ciento de la base de 12 millones de clientes de la compañía.
Trend Micro se dio cuenta por primera vez del incidente a principios de agosto de 2019 cuando descubrió que algunos de sus clientes consumidores estaban recibiendo llamadas fraudulentas por parte de delincuentes que se hacían pasar por su empleado de soporte, lo que inicialmente llevó a la compañía a sospechar un ataque coordinado.
Sin embargo, una investigación exhaustiva de al menos dos meses sobre el asunto reveló que el incidente no se debió a un hack externo de sus sistemas, sino a una persona con información privilegiada, que obtuvo acceso a una de las bases de datos de atención al cliente de Trend Micro.
"[Fue] el trabajo de una fuente interna maliciosa que participó en un plan de infiltración premeditado para evitar nuestros controles sofisticados", dijo la compañía en una publicación de blog publicada el martes.
La base de datos robada contenía los nombres de los clientes consumidores de Trend Micro, las direcciones de correo electrónico, los números de tickets de soporte de Trend Micro y, en algunos casos, los números de teléfono.
Según la compañía, el empleado deshonesto no parecía haber robado ninguna información financiera o de tarjeta de crédito, y ningún negocio de Trend Micro o clientes gubernamentales.
La investigación también reveló que el empleado vendió esta información a un tercero malicioso "actualmente desconocido", lo que resultó en que algunos de sus clientes recibieran llamadas fraudulentas de personas que se hacen pasar por empleados de Trend Micro.
Aunque la identidad del empleado deshonesto aún no se revela, Trend Micro dijo que deshabilitó la cuenta del empleado y despidió al culpable y que notificó a la policía y está trabajando con ellos.
Como resultado, la compañía ahora está advirtiendo a sus clientes de llamadas falsas, diciendo que su personal de atención al cliente nunca llama a las personas "inesperadamente", incluso si han comprado su producto de consumo.
"Si se realiza una llamada de soporte, se programará con anticipación", dijo la compañía. ". Si recibe una llamada telefónica inesperada que dice ser de Trend Micro, cuelgue e informe el incidente al soporte de Trend Micro utilizando nuestros datos de contacto oficiales".
