Si t’has allotjat alguna vegada en un hotel de la cadena MGM Resorts, pot ser que les teves dades estiguin entre les publicades en un fòrum de pirates informàtics.

Com es perpetra un furt en un casino?

Aquest presumpte santuari de diners fàcils constitueix un dels llocs més protegits, amb un nivell de seguretat intern superior al d’una entitat bancària o una institució oficial. Per tant, aconseguir-ho és gairebé una tasca impossible. No obstant això, ens trobem al segle XXI, i els mètodes de robatori han experimentat una evolució. La tecnologia assumeix un paper crucial, les dades esdevenen un botí d’un valor inestimable i l’atac informàtic sorgeix com l’arma preferida. Plantejant-ho d’una altra manera: què és més valuós, els recursos monetaris d’un complex hotel-casino o les dades personals dels seus clients?

Intrusió en les dades d’un dels hotels de la cadena MGM Resort

MGM Resorts International és un conglomerat empresarial amb seu a la localitat de Paradise (Nevada) que ostenta i administra casinos, hotels i esdeveniments espectaculars arreu del món, essent en l’actualitat la segona major corporació del sector del joc a escala global. Amb més de 3,4 quilòmetres quadrats de propietats, majoritàriament situades a Las Vegas, aquesta cadena empresarial explota establiments hotelers i hotels-casino a localitzacions com la mateixa Las Vegas, Detroit, Mississipi, Maryland, Nova Jersey, Massachusetts o Macau, incloent-hi referents com el Bellagio, el Mirage entre molts altres. En cas que hom hagi tingut la fortuna d’allotjar-se en algun d’aquests colossals establiments, és possible que els seus detalls personals formin part de la base de dades que han estat objectius d’un atac informàtic i que ara es troben penjades en línia.

Com informa el diari de The New York Times, la base de dades de MGM Resorts ha estat compromesa per un grup de ciberdelinqüents que han aconseguit accedir i obtenir més de 10,6 milions de registres pertanyents als clients de l’empresa. A més, amb la finalitat de maximitzar els danys, els responsables dels fets han decidit difondre aquestes dades en un fòrum d’activitat il·legal, posant-les a disposició de qualsevol individu disposat a pagar-ne el preu. Els experts de la plataforma web ZDNet han confirmat que les dades en qüestió són autèntiques, i revelen informació com:

• Els noms complets dels clients afectats.
• Les seves adreces de contacte.
• Números de telèfon associats.
• Adreces de correu electrònic.
• Dates de naixement.

A més, la gravetat de l’incident s’agreuja pel fet que els afectats inclouen personalitats d’alt rang, com membres del govern dels Estats Units, coneguts periodistes i altres figures conegudes. MGM Resorts ha emès un comunicat en què informa que ja ha notificat tots els clients afectats per la vulnerabilitat que va ocórrer l’any anterior. La companyia ha contractat dos experts en seguretat informàtica per dur a terme una investigació exhaustiva sobre l’incident.

De moment, encara es desconeixen molts detalls, tot i que MGM Resorts assegura que no s’ha difós informació financera com targetes de crèdit o contrasenyes. L’atac informàtic va tenir lloc durant el mes de juliol de l’any 2019, i segons MGM, es va produir mitjançant un accés no autoritzat a un servidor del núvol que allotjava “algunes dades pertanyents a certs clients anteriors”. Això suggereix que aquells clients que s’hagin allotjat en un hotel de la cadena MGM des de l’estiu de l’any passat fins a la data actual podrien no haver vist compromeses les seves dades personals.

Heu estat víctima del furt de dades a MGM?

Malgrat que, teòricament, la xifra de 10,6 milions de clients afectats no assoleix els nivells de gravetat d’altres incidents com el robatori de dades que va afectar la cadena Marriott, amb 500 milions d’hostes damnificats (incloent-hi contrasenyes numèriques), aquesta situació encara constitueix un esdeveniment d’extrema importància que pot deixar les dades de 10,6 milions de persones com a possibles objectius per a futurs atacs de phishing i tècniques de SIM-swapping.

Els detalls sobre aquest error en la seguretat s’han incorporat a la base de dades del lloc web ‘Have I Been Pwned’, una eina que permet als usuaris comprovar si les seves adreces de correu electrònic han estat objecte de pirateig en algun dels milions d’atacs de robatori de dades que han tingut lloc a la xarxa.