Un hacker ha accedido a los repositorios de GitLab de Europcar Mobility Group, la compañía multinacional de alquiler de autos, robando código fuente de aplicaciones Android e iOS, así como información personal de hasta 200,000 clientes.
El actor amenazó con extorsionar a la empresa, prometiendo publicar 37GB de datos que incluyen copias de seguridad y detalles sobre la infraestructura en la nube y aplicaciones internas de la empresa.
Detalles del ataque y datos robados
A finales de marzo, el atacante que usó el nombre de Europcar como alias anunció que había accedido a los sistemas de la compañía y obtenido todos sus repositorios de GitLab.
Afirmaron haber copiado más de 9.000 archivos SQL con copias de seguridad que contenían datos personales, y al menos 269 archivos .ENV que almacenan configuraciones sensibles de aplicaciones.
Para demostrar la veracidad del ataque, el hacker publicó capturas de pantalla de credenciales encontradas en el código fuente robado.
Datos afectados y alcance de la brecha
La confirmación de la brecha asegura que el ataque es real y que Europcar Mobility Group está evaluando el alcance del daño.
Aunque el atacante afirmó haber robado todos los repositorios de GitLab, se descubrió que una pequeña parte del código fuente permaneció intacta.
Los datos robados incluyen nombres y direcciones de correo electrónico de usuarios de Goldcar y Ubeeqo. Según las estadísticas disponibles, el número de clientes afectados podría oscilar entre 50,000 y 200,000, algunos de los cuales datan de 2017 y 2020.
Aunque información más sensible, como detalles bancarios, tarjetas o contraseñas, no ha sido expuesta.
Notificación y medidas de la empresa
La empresa está en proceso de notificar a todos los clientes afectados y ha informado a la autoridad de protección de datos en el país correspondiente.
Posibles causas del ataque
No está claro cómo el atacante logró acceder a los repositorios de código de Europcar, pero muchos de los recientes ataques han sido facilitados por credenciales robadas en compromisos previos de infostealers.
En el pasado, Europcar fue blanco de un falso ataque en el que alguien en un foro de hackers afirmó poseer la información personal (nombres, direcciones, fechas de nacimiento, números de licencias de conducir) de casi 50 millones de clientes.
En 2022, un investigador descubrió un token de administrador en el código de las aplicaciones móviles de Europcar, lo que podría haber permitido el acceso a los detalles biométricos de los clientes.