A principios de este mes, la startup LogicGate informó a sus clientes sobre un fallo en su seguridad. La información fue revelada gracias a un correo electrónico enviado por la empresa a sus usuarios.
En el mensaje se indica que un “tercero no autorizado” tuvo acceso a los servidores de almacenamiento en la nube de Amazon Web Services.
El evento ocurrió el 23 de febrero y afectó las copias de seguridad para su Risk Cloud. Esta plataforma se encarga de la identificación y gestión de riesgo para el cumplimento de las normas de protección de datos.
Por igual, esta es capaz de hallar las vulnerabilidades de seguridad existentes antes que los hackers puedan detectarlas, y usarlas a su favor.
¿Cómo fueron afectados los usuarios de la startup LogicGate?
Se cree que las credenciales obtenidas fueron empleadas para descifrar archivos almacenados en cubos de AWS S3.
Ello desde el entorno del Risk Cloud y su copia de seguridad. El correo hizo hincapié en que únicamente los archivos del 23 de febrero y antes de este fueron los expuestos.
Sin embargo, la empresa agregó que no se había identificado eventos de descifrado que estuviesen relacionados con los archivos adjuntos.
Asimismo, tampoco hubo aclaratorias sobre cómo fueron comprometidas las credenciales de AWS. Aun así, la startup LogicGate hizo nuevas actualizaciones sobre este comunicado, y que fueron enviadas una vez más a sus clientes.
Se explicó en estas que la compañía estaba comprometida con detectar la causa real de dicho evento.
Sin declaraciones públicas
Ha llamado la atención que la empresa no haya hecho hasta los momentos alguna declaración pública sobre este evento. Y es que el correo fue enviado únicamente a los clientes en un principio.
Tampoco queda del todo claro si LogicGate envió esta información a todos sus clientes, o en cambio solo a aquellos que fueron víctimas de la violación de datos.
Cabe destacar que como clientes la empresa tiene algunos nombres como Blue Cross Blue Shield of Kansas City, Capco y SoFi. Y que la misma se encuentra en la responsabilidad de alertar sobre este tipo de acontecimientos a las autoridades estatales de Estados Unidos.
Sobre este tema, su director ejecutivo, Matt Kunkel, pudo confirmar los hechos, pero al mismo tiempo ha preferido no hacer comentarios extras porque la investigación seguía en curso. Aseguró que su responsabilidad era la de comunicar a sus clientes este tipo de acontecimientos.
También llama la atención que no haya revelado si el atacante pudo extraer los datos descifrados de los clientes alojados en los servidores de la startup.
La falta de notificación frente a la violación de datos conlleva a fuertes sanciones, no obstante, la gravedad de estas multas varía de acuerdo al estado en el que haya ocurrido.
Por su parte, en las normas europeas del GDPR, las multas podrían llegar hasta el 4% de la facturación anual. Una cifra bastante considerable.
Tomando en cuenta esto, 8,75 millones de dólares fue lo conseguido por LogicGate como nueva financiación. Teniendo más de 40 millones de dólares en valor actual.