Support

Communication 01/04

Durante el día 2021-03-23 un atacante probó combinaciones de email y contraseña disponibles online a partir de credenciales perdidas en otros sitios web, utilizando una amplia gama de direcciones IP, hasta que encontró acceso a algunas tiendas para intervenir la configuración de los medios de pago.

Estos accesos no autorizados se obtuvieron utilizando el nombre de email y password correctos de la cuenta. Es muy probable que estas credenciales se hayan obtenido de una pérdida de datos en otro sitio web. Los usuarios más vulnerables a este tipo de ataques son aquellos que utilizan una misma combinación de email y password en distintos sitios web, basta con que uno de esos sitios sufra un robo de contraseñas para estar expuesto a una ataque en todos. Existen sitios en internet que informan si un email y/o contraseña ha sido vulnerada como por ejemplo https://haveibeenpwned.com.

Queremos resaltar que ninguna password fue comprometida en las bases de datos de Jumpseller, toda vez que todas las contraseñas son encriptadas y salteadas, siendo imposibles de desencriptar, incluso por un miembro de Jumpseller.

Inmediatamente después de que detectamos los cambios de medios de pagos restablecimos la contraseña de estas cuentas, cerramos la sesión de cualquier intruso y enviamos un correo electrónico a los titulares de las cuentas posiblemente afectadas con la información relevante. También nos contactamos con la pasarela de pago utilizada que ya había detectado y bloqueado la cuenta utilizada por el atacante, luego de lo cual anuló las transacciones de manera de dar inicio al proceso de reembolso de los pagos comprometidos de los 16 comercios afectados (proceso que después de la anulación ya no depende de la pasarela de pago). La pasarela de pago utilizada no tiene ningún tipo de responsabilidad en el ataque cometido, el servicio que presta no se ha visto comprometido y ninguno de sus clientes ha visto comprometida su bases de datos.

Hemos tomado medidas inmediatas para frenar este ataque en particular y tomaremos dentro del corto plazo medidas adicionales que ayuden a nuestros comercios a seguir las mejores prácticas de protección de sus datos personales. Entre las cuales destacamos: - notificar vía email siempre que es agregado o editado un medio de pago a una tienda; - solicitar una segunda autenticación (2FA) cuando existan dudas sobre la identificación del login (esta funcionalidad estará en línea en los próximos días); - solicitar un tercer campo, el identificador de la tienda (URL) en los logins de nuestro sitio web; agregar recaptcha en los formularios de login.

Nuestro equipo de operaciones continuará monitoreando y combatiendo cualquier ataque futuro.

Jumpseller Av. Nueva Providencia 2353, Of. 1701, Santiago de Chile RUT: 76510834-9 01 de abril de 2021 notices@jumpseller.com