Un delincuente ha publicado de forma gratuita datos de 10.000 titulares de tarjetas de crédito American Express en un foro de hacking. En la misma publicación del foro, el actor afirma vender aún más datos de clientes bancarios mexicanos de American Express, Santander y Banamex. El hallazgo fue sacado a la luz por el analista de inteligencia de amenazas, Bank Security.
Según lo analizado por BleepingComputer, el conjunto de datos de muestra filtrados de 10.000 registros expone los números completos de las cuentas de American Express (tarjeta de crédito) y la información de identificación personal (PII) de los clientes, incluido el nombre, la dirección completa, los números de teléfono, la fecha de nacimiento, el sexo, etc.
Sin embargo, BleepingComputer no vio fechas de vencimiento de tarjetas de crédito, contraseñas o datos financieros demasiado confidenciales en la hoja de cálculo publicada que podrían permitir el uso indebido de las tarjetas de crédito en transacciones fraudulentas.
Parece que el actor detrás de la publicación del foro tiene la intención de exponer estos datos principalmente con fines de marketing y spam. «No vendo datos privados como contraseña, información de la tarjeta, número de identificación. Con los datos que vendo o comparto, solo estás expuesto a spam o marketing», declaró el vendedor en el mismo hilo del foro.
American Express no negó ni admitió que habían sufrido una violación de datos, pero compartió que todos los titulares de tarjetas Amex no son responsables de cargos fraudulentos. «Estamos al tanto del informe y estamos siguiendo de cerca la situación. No tenemos nada más que compartir en este momento».
Los tarjetahabientes de Amex deben permanecer atentos y reportar cualquier actividad fraudulenta observada en los extractos de sus tarjetas a American Express. Además, se insta a los titulares de tarjetas a estar atentos a los correos electrónicos, mensajes de texto y llamadas telefónicas sospechosas de phishing que ahora podrían ser aún más difíciles de detectar, si los estafadores incluyen partes del número de la tarjeta de crédito y PII legítima en estas comunicaciones para ganarse la confianza del cliente.
Fuente y redacción: BleepingComputer